要配置 Veeva Vault 移动版,以允许用户使用贵公司的身份系统登录,需要执行两个步骤:
- 首先,为您的 Vault 配置 OAuth 2.0。请参阅配置 OAuth 2.0/OpenID Connect 配置文件,以了解详细说明。
- 接下来,在您的授权服务器上,配置并注册一个适用于 Vault 移动版的 OAuth 2.0/OpenID Connect 应用程序。请参阅1,以了解详细说明。
授权服务器支持
本节段将介绍配置多种兼容授权服务器时需要执行的步骤。出于安全目的,建议在您的授权服务器中启用 PKCE。
ADFS
要在 ADFS 中将 Vault 移动版设置为一个应用程序:
- 在 ADFS 内,导航到应用程序组 > 应用程序 > 本机应用程序。
- 输入客户端 ID:
vaultmobile
。 - 输入如下重定向 URI:
com.veeva.vaultmobile://authorize
。
接下来,您必须将 Vault 设置为一个 Web API:
- 在 ADFS 内,导航到应用程序组 > 应用程序 > Web API。
- 单击标识符标签页,以便将 Vault 作为一个依赖方标识符添加。
- 对于显示名称,输入
Vault
。 - 输入如下依赖方标识符:
https://login.veevavault.com
。 - 单击发布转换规则标签页,以创建一个自定义声明规则。
- 在此标签页中,单击添加规则 > 使用自定义规则发送声明 > 下一步。
- 输入如下自定义规则,并将 mail 替换为您希望用作联合 ID 的字段:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("sub"), query = ";mail;{0}", param = c.Value);
- 单击客户端权限标签页,然后选择 Vault 移动版。
- 选中 allatclaims 复选框。
- 选中 openid 复选框。
- 单击应用,以保存您的 Web API 配置。单击确定以退出此对话框。
PingFederate
要配置新的 Ping Identity 配置文件:
- 将配置文件客户端 ID 设置为
vaultmobile
。确保为客户端 ID 设置无客户端密码
。 - 对于客户端身份验证,选择无。
- 输入一个显示名称。对于此配置文件,建议使用
Vault 移动版
。 - 输入如下重定向 URI:
com.veeva.vaultmobile://authorize
。
您应将应用程序配置为遵循以下授权类型:
- 授权代码
- 刷新令牌
请注意,Vault 在 id_token
中使用 sub 声明,并将 access_token
用作联合 ID。
您的应用程序配置应当遵循以下范围:
openid
offline_access
Microsoft Azure AD
注意:使用 Microsoft Azure 进行的企业登录需要使用 Veeva Vault 移动版应用程序 213.2.1 版或更高版本。
要在 Microsoft Azure AD 中将 Vault 移动版设置为应用程序,您必须首先为 login.veevavault.com 创建一个应用程序注册:
- 在 Microsoft Azure 内,导航到 Azure Active Directory > 应用程序注册。
- 选择新注册。
- 在名称字段中,为您的注册输入一个名称。建议使用
login.veevavault.com
。 - 选择注册。
接下来,为 Veeva Vault 移动版创建一个应用程序注册:
- 在 Microsoft Azure 内,导航到 Azure Active Directory > 应用程序注册。
- 选择新注册。
- 在名称字段中,为您的注册输入一个名称。建议使用 Vault 移动版。
- 在支持的帐户类型下方,选择哪些用户能够访问 Vault 移动版。
- 在重定向 URI 面板中,选择公共客户端/本机(移动和桌面),然后输入如下 URI:
com.veeva.vaultmobile://authorize
。 - 选择注册。
- 导航到应用程序注册 > 公开 API。
- 在应用程序 ID URI 字段中,选择设置。
- 当 Azure 选择一个 ID 之后,选择保存。
- 选择添加范围。
- 在范围名称字段中,输入您在步骤 3 中选择的名称。
- 在谁能同意?字段中,选择管理员和用户。
- 输入所需的名称和说明。
- 在状态字段中,选择已启用。
- 选择添加范围。
编辑您的 OAuth 2.0/OpenID Connect 配置文件,以确保:
- 将身份声明设置为身份处于另一个声明中。
- 将声明设置为 upn。
- 将用户 ID 类型设置为联合 ID。
将 Vault 移动版作为一个客户端应用程序添加,并确保:
- 应用程序客户端 ID 设置为 vaultmobile。
- 授权客户端服务器 ID 与 Azure 在步骤 8 中生成的应用程序(客户端)ID 匹配。
Okta
要在 Okta 中将 Vault 移动版设置为一个应用程序:
- 在 Okta 内,导航到应用程序 > 添加应用程序 > 创建新应用程序。
- 对于 Platform,选择本机应用程序。
- 对于登录方法,选择 OpenID Connect。
- 单击创建。
- 输入一个应用程序名称。对于此配置文件,建议使用 Vault 移动版。
- 输入如下登录重定向 URI:
com.veeva.vaultmobile://authorize
- 输入如下发起登录 URI:
com.veeva.vaultmobile://authorize
- 单击保存,以创建此应用程序。
创建此应用程序之后,导航到常规设置标签页,以确认以下设置:
- 应用程序标签:您在 Okta 中作为“应用程序集成名称”输入的值,例如 Vault 移动版
- 应用程序类型:本机
- 允许的授权类型:授权代码和刷新令牌
- 登录重定向 URI:
com.veeva.vaultmobile://authorize
在常规设置标签页中,滚动到客户端凭据节段。在 Okta 中,您无法配置客户端 ID;Okta 会分配一个随机的唯一标识符。为支持此操作,您需要在 Vault 中配置客户端 ID 映射,并将此唯一标识符输入到授权服务器客户端 ID 字段中。您可以对“应用程序客户端 ID”字段使用 vaultmobile
。在这一节段中,应将客户端身份验证设置为使用 PKCE(对于公共客户端)。
接下来,导航到登录标签页,以确保将登录方法设置为 OpenID Connect。
最后,导航到分配标签页,以添加 Okta 用户。对于您分配给用于 Okta 的 OAuth 2.0/OpenID Connect 配置文件的每个 Vault 用户,您必须在此添加一个相应的用户。如果将 OAuth 2.0/OpenID Connect 配置文件中的用户 ID 类型设置为 Vault 用户名,则 Okta 用户名必须与 Vault 用户名匹配。如果将其设置为联合 ID,则 Okta 用户名必须与 Vault 用户的联合 ID 匹配。
添加授权服务器元数据
设置了配置文件之后,获取授权服务器元数据。大多数授权服务器通过一个 URL 来公开 AS 元数据,而有些授权服务器允许您下载一个 AS 元数据 JSON 文件。使用 URL 或 JSON 文件,在 Vault 中上传您的 OAuth 2.0/OpenID Connect 配置文件中的 AS 元数据。