คู่มือสำหรับ Admin
บทความนี้ประกอบไปด้วยวิธีการใช้งาน Access Control Admin Console และการตั้งค่าต่างๆ รวมไปถึงคำแนะนำในการตั้งค่าเพื่อให้เหมาะสมกับความต้องการขององกรณ์ของท่าน
โดยในหน้า Access Control Admin Console จะแยกการตั้งค่าออกมาเป็น 3 ส่วน System settings, User settings, และ Secure Browser Settings ซึ่งในบทความนี้จะเป็นส่วนของ User settings
User Settings ประกอบไปด้วย 2 ส่วน:
1) Users
2) Access Policy Groups
1) Users
☆ 1 - ล็อกอินเข้าบัญชีแอดมินไปยัง Access Control Admin Console
https://ap.ssso.hdems.com/admin/yourdomain
☆ 2 - ไปที่ "Users" เมนูด้านซ้ายมือ แอดมินสามารถทำการตั้งค่าสำหรับผู้ใช้ต่างๆในหน้านี้
☆ 3 - Add New User - ในการสร้างบัญชีผู้ใช้ใหม่ กดปุ่ม "New User" ตามรูปด้านล่าง
☆ 4 - ในหน้า "Add New User" กรอกข้อมูลจำเป็นต่างๆตามกำหนดในรูปด้านล่าง
**Note : กรุณากรอก Family Name, Given Name, และ Display Name ให้ครบ เนื่องจากว่าหากทิ้งช่องใดช่องหนึ่งว่างไว้การ Sync บัญชีอาจจะเกิดการล้มเหลว
☆ 5 - Edit User - หลังสร้างบัญชีผู้ใช้แล้ว แอดมินสามารถเข้าไปแก้ไขข้อมูลได้โดยการกดไอคอนสำหรับแก้ไข "Edit" ตามรูปด้านล่าง
☆ 6 - ในหน้า "Edit User" แอดมินสามารถแก้ไขข้อมูลได้ตามด้านล่าง
☆ 7 - Add/Edit Multiple Users - หากต้องการเพิ่มบัญชีผู้ใช้จำนวนมากในทีเดียว กดปุ่ม "Batch Registration / Update" ตามรูปด้านล่าง
☆ 8 - เมื่อกดเข้ามาในหน้า "Batch Registration / Update" แอดมินสามารถเช็คข้อจำเป็นสำหรับใส่ข้อมูลต่างๆ ของแต่ละบัญชีลงในไฟล์ (.TSV) ที่ใช้ในการอัพโหลด :
☆ 9 - ด้านล่างเป็นตัวอย่างการสร้างไฟล์เพื่อใช้อัพโหลด แอดมินสามารถทำการสร้าง อัพเดท หรือลบบัญชีผู้ใช้หลายๆบัญชีได้ในครั้งเดียว
แถว A ถึง H:
แถว I ถึง M:
หลังจากกรอกข้อมูลทั้งหมดเรียบร้อยแล้ว แอดมินสามารถทำการอัพโหลดไฟล์ .tsv โดยกดปุ่ม 'Choose File' ตามรูปด้านล่าง
☆ 10 - Download user list - หากต้องการดาวน์โหลด list ของผู้ใช้ทั้งหมดจาก Access Control กดปุ่ม "Download(TSV)" ตามรูปด้านล่าง
☆ 11 - Delete User - กดไอคอน "Delete" ด้านขวามือตามรูปด้านล่างเพื่อลบบัญชี
2) Access Policy Groups
☆ 1 - ล็อกอินเข้าบัญชีแอดมินไปยัง Access Control Admin Console
https://ap.ssso.hdems.com/admin/yourdomain
☆ 2 - Create New Access Policy Groups - กดไปที่ "Access Policy Groups" เมนูเพิ่อเข้าไปยังหน้าสำหรับการตั้งค่า Access Policy Group -> กด "New Access Policy Group" เพื่อสร้าง Access Policy Group ใหม่
หากต้องการแก้ไข Access Policy Group ที่สร้างไว้อยู่แล้ว กดปุ่มไอคอนแก้ไขตามรูปด้านล่าง
☆ 3 - หน้าต่างสำหรับตั้งค่า Access Policy Group จะแสดงขึ้นตามรูปด้านล่าง :
☆ 4 - การตั้งค่าสำหรับแต่ละช่องใน Access Policy Group มีดังนี้
(a) Display Name : ชื่อสำหรับ Access Policy Group
(b) Cookie Lifespan : ช่วงเวลาที่ผู้ใช้สามารถล็อกอินเข้าระบบได้โดยไม่ต้องใส่ password หากผู้ใช้เช็คช่อง "Remember this login" ที่อยู่ในหน้าจอสำหรับล็อกอิน
- ค่า default ของ Cookie Lifespan จะถูกตั้งไว้ที่ 168 ชั่วโมงซึ่งเท่ากับ 1 อาทิตย์
- หากตั้งค่าเป็น 0 หลังผู้ใช้ล็อกอินเข้าสู่ระบบแล้ว ผู้ใช้จะยังอยู่ในระบบจนกว่าเบาว์เซอร์จะถูกปิด
(c) Condition to allow access : หากตั้งเป็น 'Enable' ผู้ใช้จะสามารถล็อกอินเข้าใช้ได้ หากผู้ใช้ล็อกอินเข้าใช้โดยผ่านตามเงื่อนไขที่ตั้งไว้ในช่องถัดมาเท่านั้น
(d) Condition not to require OTP : หากตั้งเป็น 'Enable' ผู้ใช้จะสามารถล็อกอินเข้าใช้ได้โดยไม่ต้องผ่านระบบยืนยันตัวตน One-Time Password หากผู้ใช้ล็อกอินเข้าใช้โดยผ่านตามเงื่อนไขที่ตั้งไว้ในช่องถัดมาเท่านั้น
- เมื่อตั้งเป็น 'Enable' หากไม่ตรงตามเงื่อนไข ผู้ใช้จะต้องผ่านการยืนยันตัวตนด้วยระบบ OTP
- หากตั้งเป็น 'Disable' ผู้ใช้ในกลุ่มนี้จะไม่ต้องผ่านการยืนยันตัวตน OTP
*เราแนะนำให้ใช้กฎนี้หากต้องการเพิ่มความปลอดภัยในการใช้งานสำหรับผู้ใช้ที่ต้องเข้าใช้เซอร์วิสจากเน็ตเวิรค์ภายนอกออฟฟิศหรือเข้าใช้จากเครื่อง device นอกเหนือจากของบริษัทหรือส่วนตัว
(e) Condition to change OTP secret : หากตั้งเป็น 'Enable' ปุ่มสำหรับกดเพื่อตั้งค่า OTP Settings [Configure OTP via Smartphone] จะแสดงขึ้นใน HDE Access Control User Console ของผู้ใช้ และผู้ใช้จะสามารถติดตั้งรับ OTP สำหรับ smartphone ด้วยตัวเองได้ โดยผู้ใช้จะสามารถทำการตั้งค่านี้ต่อเมื่อผู้ใช้ล็อกอินเข้าใช้โดยผ่านตามเงื่อนไขที่ตั้งไว้ในช่องถัดมาเท่านั้น
OTP Settings [Configure OTP via Smartphone] ใน HDE Access Control User Console :
(f) Condition to change OTP notification email: หากตั้งเป็น 'Enable' ปุ่มสำหรับกดเพื่อตั้งค่า OTP Settings [Configure OTP by Email] จะแสดงขึ้นใน HDE Access Control User Console ของผู้ใช้ และผู้ใช้จะสามารถติดตั้งหรือเปลี่ยน email ที่ใช้สำหรับรับ OTP ด้วยตัวเองได้ โดยผู้ใช้จะสามารถทำการตั้งค่านี้ต่อเมื่อผู้ใช้ล็อกอินเข้าใช้โดยผ่านตามเงื่อนไขที่ตั้งไว้ในช่องถัดมาเท่านั้น
OTP Settings [Configure OTP by Email] ใน HDE Access Control User Console :
(g) Condition to access to secure browser control panel : หากตั้งเป็น 'Enable' ปุ่มสำหรับกดเพื่อตั้งค่า HDE Secure Browser Settings จะแสดงขึ้นใน HDE Access Control User Console ของผู้ใช้ และผู้ใช้จะสามารถทำการติดตั้งเครื่อง device ใหม่เพื่อเข้าใช้ HDE Secure Browser ด้วยตัวเองได้ โดยผู้ใช้จะสามารถทำการตั้งค่านี้ต่อเมื่อผู้ใช้ล็อกอินเข้าใช้โดยผ่านตามเงื่อนไขที่ตั้งไว้ในช่องถัดมาเท่านั้น
HDE Secure Browser Settings ใน HDE Access Control User Console :
(h) Condition to change unread email check target : หากตั้งเป็น 'Enable' ในหน้า HDE Secure Browser Settings ผู้ใช้จะสามารถเปลี่ยนการตั้งค่าสำหรับ unread email check ได้ด้วยตัวเองได้ โดยผู้ใช้จะสามารถทำการตั้งค่านี้ต่อเมื่อผู้ใช้ล็อกอินเข้าใช้โดยผ่านตามเงื่อนไขที่ตั้งไว้ในช่องถัดมาเท่านั้น
Unread check setting [HDE Secure Browser Settings] ใน HDE Access Control User Console :
(i) Condition to allow Desktop/Mobile application access : หากตั้งเป็น 'Enable' ผู้ใช้จะสามารถเข้าใช้เซอร์วิสคลาวด์ผ่านแอพพลิเคชั่นบนเครื่อง Desktop และมือถือได้หากผู้ใช้ล็อกอินเข้าใช้โดยผ่านตามเงื่อนไขที่ตั้งไว้ในช่องถัดมาเท่านั้น
☆ 5 - Input Values - ค่าที่สามารถใช้ในการตั้งเงื่อนไขมีดังต่อไปนี้ :
(a) อนุญาตหรือปฏิเสธ : true / false
เพื่ออนุญาตหรือจำกัดผู้ใช้ในการเข้าใช้ผ่านกฎใน Access Policy Group แอดมินสามารถตั้งค่าด้วย true หรือ false ลงในช่องเงื่อนไข
ยกตัวอย่างตามรูปด้านล่าง เซ็ตเป็น 'Enable' และตั้งค่า 'false' ลงในกฎ Condition to change OTP notification email จะเป็นการปิดไม่ให้ผู้ใช้ในกลุ่ม Access Policy Group นี้สามารถเปลี่ยนการตั้งค่า OTP notification email ได้ใน Access Control User Console
(b) กำหนด And/Or ระหว่าเงื่อนไข : and / or
เพิ่มเงื่อนไขโดยใช้ 'and' หรือ 'or'
- "and" - จะต้องผ่านเงื่อนไขทั้งคู่เพื่อเข้าใช้
- "or" - จะต้องผ่านเงื่อนไขอย่างใดอย่างหนึ่งเพื่อเข้าใช้
ยกตัวอย่างตามรูปด้านล่าง 'ip4:111.111.111.111 or has_pass:true' หมายถึงหากผู้ใช้ผ่านเงื่อนไขอย่างใดอย่างหนึ่งจะสามารถเข้าใช้ได้ ในที่นี้หากผู้ใช้เข้าใช้งานจากเน็ตเวิรค์ 111.111.111.111 โดยไม่มี Entrance Pass (cookie) ก็ยังสามารถเข้าล็อกอินได้
(c) ยกเว้นเงื่อนไข : not
- "not" - ใส่ 'not' ไว้ข้างหน้าเพื่อยกเว้นเงื่อนไขที่ตามมา
ยกตัวอย่างตามรูปด้านล่าง หมายความว่าผู้ใช้จะสามารถเข้าใช้ได้ตั้งแต่เวลา 10:00-20:00 โมง แต่จะไม่สามารถเข้าใช้ได้ในวันเสาร์อาทิตย์
(d) อนุญาตให้เข้าใช้จากเน็ตเวิร์คที่กำหนดไว้ : ip4:xxx.xxx.xxx.xxx
เพื่อกำหนดให้ผู้ใช้เข้าใช้งานได้จากเฉพาะเน็ตเวิร์คที่กำหนดไว้เท่านั้น
Note: IP address ที่ใช้นั้นจะต้อง public IP address ของเน็ตเวิรค์เท่านั้น
(e) อนุญาตให้ผู้ใช้บางคนเท่านั้นเข้าใช้ : login_name:Username
หากต้องการอนุญาตแค่บางผู้ใช้ให้เข้าล็อกอินได้ สามารถตั้งค่าได้ตามตัวอย่างด้านล่าง ซึ่งอนุญาตให้ผู้ใช้ที่ใช้ username 'billgates' เข้าใช้ 'or false' หมายถึงผู้ใช้อื่นนอกจาก 'billgates' จะถูกจำกัดไม่ให้เข้าใช้ได้
(f) อนุญาตให้เข้าใช้หากมี Entrance Pass ในเบราว์เซอร์ : has_pass:true
- 'has_pass:true' - ผู้ใช้ที่มี Entrance Pass (cookie) อยู่ในเบราว์เซอร์จะสามารถเข้าใช้ได้
ยกตัวอย่างตามรูปด้านล่าง หมายถึงหากผู้ใช้เข้าใช้งานจากเน็ตเวิรค์ 123.123.123.123 โดยไม่มี Entrance Pass (cookie) ก็ยังสามารถเข้าล็อกอินได้ หรือในทางกลับกัน แม้ผู้ใช้จะไม่ได้เข้าใช้จากเน็ตเวิร์ค 123.123.123.123 แต่ถ้ามี Entrance Pass อยู่ในเบราว์เซอร์ที่ได้มาจากการล็อกอินครั้งก่อนก็จะสามารถเข้าใช้งานได้เหมือนกัน
(g) อนุญาตให้เข้าใช้หากมี Entrance Pass ในเบราว์เซอร์ที่ถูกเก็บไว้ไม่เกินเวลาที่กำหนด : has_pass_within:hours
'has_pass_within:hours' - กำหนดว่าหากมี Entrance Pass (cookie) ที่ถูกเก็บไว้ในเบราว์เซอร์ไม่เกินช่วงเวลาที่กำหนดไว้หลังล็อกอินครั้งล่าสุด จะสามารถเข้าใช้งานได้ โดยกำหนดตัวเลขเป็นหน่วยชั่วโมง
ยกตัวอย่างตามรูปด้านล่าง หมายถึงหากผู้ใช้จะต้องเข้าใช้งานจากเน็ตเวิรค์ 123.123.123.123 หรือไม่ก็จำเป็นจะต้องมี Entrance Pass (cookie) ที่ถูกเก็บไว้หลังล็อกอินครั้งล่าสุดไม่เกิน 30 ชั่วโมง จึงจะสามารถเข้าใช้งานได้
