配置 Veeva Vault 移动版的企业登录

要配置 Veeva Vault 移动版,以允许用户使用贵公司的身份系统登录,需要执行两个步骤:

  • 首先,为您的 Vault 配置 OAuth 2.0。请参阅配置 OAuth 2.0/OpenID Connect 配置文件,以了解详细说明。
  • 接下来,在您的授权服务器上,配置并注册一个适用于 Vault 移动版的 OAuth 2.0/OpenID Connect 应用程序。请参阅1,以了解详细说明。

授权服务器支持

本节段将介绍配置多种兼容授权服务器时需要执行的步骤。出于安全目的,建议在您的授权服务器中启用 PKCE

ADFS

要在 ADFS 中将 Vault 移动版设置为一个应用程序:

  1. 在 ADFS 内,导航到应用程序组 > 应用程序 > 本机应用程序
  2. 输入客户端 IDvaultmobile
  3. 输入如下重定向 URIcom.veeva.vaultmobile://authorize

接下来,您必须将 Vault 设置为一个 Web API:

  1. 在 ADFS 内,导航到应用程序组 > 应用程序 > Web API
  2. 单击标识符标签页,以便将 Vault 作为一个依赖方标识符添加。
  3. 对于显示名称,输入 Vault
  4. 输入如下依赖方标识符https://login.veevavault.com
  5. 单击发布转换规则标签页,以创建一个自定义声明规则。
  6. 在此标签页中,单击添加规则 > 使用自定义规则发送声明 > 下一步
  7. 输入如下自定义规则,并将 mail 替换为您希望用作联合 ID 的字段:c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("sub"), query = ";mail;{0}", param = c.Value);
  8. 单击客户端权限标签页,然后选择 Vault 移动版
  9. 选中 allatclaims 复选框。
  10. 选中 openid 复选框。
  11. 单击应用,以保存您的 Web API 配置。单击确定以退出此对话框。

PingFederate

要配置新的 Ping Identity 配置文件:

  1. 将配置文件客户端 ID 设置为 vaultmobile。确保为客户端 ID 设置无客户端密码
  2. 对于客户端身份验证,选择
  3. 输入一个显示名称。对于此配置文件,建议使用 Vault 移动版
  4. 输入如下重定向 URIcom.veeva.vaultmobile://authorize

您应将应用程序配置为遵循以下授权类型:

  • 授权代码
  • 刷新令牌

请注意,Vault 在 id_token 中使用 sub 声明,并将 access_token 用作联合 ID。

您的应用程序配置应当遵循以下范围:

  • openid
  • offline_access

Microsoft Azure AD

要在 Microsoft Azure AD 中将 Vault 移动版设置为应用程序,您必须首先为 login.veevavault.com 创建一个应用程序注册:

  1. 在 Microsoft Azure 内,导航到 Azure Active Directory > 应用程序注册
  2. 选择新注册
  3. 名称字段中,为您的注册输入一个名称。建议使用 login.veevavault.com
  4. 选择注册

接下来,为 Veeva Vault 移动版创建一个应用程序注册:

  1. 在 Microsoft Azure 内,导航到 Azure Active Directory > 应用程序注册
  2. 选择新注册
  3. 名称字段中,为您的注册输入一个名称。建议使用 Vault 移动版
  4. 支持的帐户类型下方,选择哪些用户能够访问 Vault 移动版。
  5. 重定向 URI 面板中,选择公共客户端/本机(移动和桌面),然后输入如下 URI:com.veeva.vaultmobile://authorize
  6. 选择注册
  7. 导航到应用程序注册 > 公开 API
  8. 应用程序 ID URI 字段中,选择设置
  9. 当 Azure 选择一个 ID 之后,选择保存
  10. 选择添加范围
  11. 范围名称字段中,输入您在步骤 3 中选择的名称。
  12. 谁能同意?字段中,选择管理员和用户
  13. 输入所需的名称和说明。
  14. 状态字段中,选择已启用
  15. 选择添加范围

编辑您的 OAuth 2.0/OpenID Connect 配置文件,以确保:

  • 身份声明设置为身份处于另一个声明中
  • 声明设置为 upn
  • 用户 ID 类型设置为联合 ID

将 Vault 移动版作为一个客户端应用程序添加,并确保:

  • 应用程序客户端 ID 设置为 vaultmobile
  • 授权客户端服务器 ID 与 Azure 在步骤 8 中生成的应用程序(客户端)ID 匹配。

Okta

要在 Okta 中将 Vault 移动版设置为一个应用程序:

  1. Okta 内,导航到应用程序 > 添加应用程序 > 创建新应用程序
  2. 对于 Platform,选择本机应用程序
  3. 对于登录方法,选择 OpenID Connect
  4. 单击创建
  5. 输入一个应用程序名称。对于此配置文件,建议使用 Vault 移动版。
  6. 输入如下登录重定向 URIcom.veeva.vaultmobile://authorize
  7. 输入如下发起登录 URI:com.veeva.vaultmobile://authorize
  8. 单击保存,以创建此应用程序。

创建此应用程序之后,导航到常规设置标签页,以确认以下设置:

  • 应用程序标签:您在 Okta 中作为“应用程序集成名称”输入的值,例如 Vault 移动版
  • 应用程序类型:本机
  • 允许的授权类型授权代码刷新令牌
  • 登录重定向 URIcom.veeva.vaultmobile://authorize

常规设置标签页中,滚动到客户端凭据节段。在 Okta 中,您无法配置客户端 ID;Okta 会分配一个随机的唯一标识符。为支持此操作,您需要在 Vault 中配置客户端 ID 映射,并将此唯一标识符输入到授权服务器客户端 ID 字段中。您可以对“应用程序客户端 ID”字段使用 vaultmobile。在这一节段中,应将客户端身份验证设置为使用 PKCE(对于公共客户端)

接下来,导航到登录标签页,以确保将登录方法设置为 OpenID Connect

最后,导航到分配标签页,以添加 Okta 用户。对于您分配给用于 Okta 的 OAuth 2.0/OpenID Connect 配置文件的每个 Vault 用户,您必须在此添加一个相应的用户。如果将 OAuth 2.0/OpenID Connect 配置文件中的用户 ID 类型设置为 Vault 用户名,则 Okta 用户名必须与 Vault 用户名匹配。如果将其设置为联合 ID,则 Okta 用户名必须与 Vault 用户的联合 ID 匹配。

添加授权服务器元数据

设置了配置文件之后,获取授权服务器元数据。大多数授权服务器通过一个 URL 来公开 AS 元数据,而有些授权服务器允许您下载一个 AS 元数据 JSON 文件。使用 URL 或 JSON 文件,在 Vault 中上传您的 OAuth 2.0/OpenID Connect 配置文件中的 AS 元数据。