Integrace SSO (Single Sign-On) přes SAML 2.0. Tato funkce umožňuje vašim zaměstnancům bezpečné přihlášení do platformy Seduo pomocí firemního SSO systému (např. Microsoft Azure AD, Google Workspace nebo jiný IdP). Tento systém lze využívat také pro automatickou registraci studentů přes SSO.
Tento návod slouží jako zadání pro IT oddělení nebo správce identit pro zprovoznění přihlašování do portálu Seduo. Kompletní technickou specifikaci naleznete v naší veřejné dokumentaci: 👉 Seduo Company API Documentation > SSO
Tento článek slouží jako zadání pro IT oddělení nebo správce identit pro zprovoznění přihlašování do portálu Seduo. Kompletní technickou specifikaci naleznete v naší veřejné dokumentaci: 👉 Seduo Company API Documentation > SSO
Průběh přihlášení (logický tok)
Uživatel otevře přihlašovací stránku Seduo nebo přijde na landing page firmy. Po zadání pracovního e-mailu systém automaticky rozpozná, že firma má zapnuté SSO přihlašování a:
Seduo přesměruje uživatele na Identity Provider zákazníka.
Uživatel se autentizuje svým firemním účtem.
IdP odešle podepsanou SAML odpověď zpět do Seduo.
Seduo:
ověří podpis,
načte atributy uživatele,
přihlásí nebo automaticky založí účet (v případě zapnuté funkci automatické registrace).
Uživatel je přihlášen do platformy.
Role v SAML komunikaci
Service Provider (SP): | Seduo |
Identity Provider (IdP): | Zákaznický systém (např. Microsoft Entra ID / Azure AD, ADFS) |
Ověření identity probíhá výhradně na straně zákazníka. Seduo pouze přebírá a ověřuje SAML odpověď. Seduo neuchovává ani nepracuje s přihlašovacími údaji uživatele.
Údaje o Service Providerovi (Seduo.cz)
Pro nastavení ve vašem Identity Providerovi (IdP) použijte následující údaje.
(Poznámka: NAZEV_FIRMY je unikátní identifikátor, který jsme vám zašleme).
Parametr:URL
Identifier (Entity ID): https://www.seduo.cz/firma/NAZEV_FIRMY/saml2-metadata
Reply URL (ACS): https://www.seduo.cz/firma/NAZEV_FIRMY/login-check
Sign-on URL (Login): https://www.seduo.cz/firma/NAZEV_FIRMY/prihlaseni
Logout URL: https://www.seduo.cz/firma/NAZEV_FIRMY/logout
Podporujeme metadata na výše uvedené URL adrese Entity ID. Tyto adresy je nutné nakonfigurovat v SAML aplikaci na straně IdP.
Požadavky na stranu zákazníka (IdP)
1. Nastavení URL adres od SP
Url adresy uvedené výše
2. IdP Single Sign-On URL
Zákazník musí zaslat do Seduo SSO endpoint Identity Provideru, např.: https://login.microsoftonline.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/saml2
3. Povinné atributy (claims)
Abychom uživatele správně identifikovali, IdP nám musí v SAML odpovědi posílat tyto atributy.
Prosíme o zaslání informace, v jakých názvech atributů (Name) tyto údaje posíláte.
Doporučujeme použít standardní Azure AD / Microsoft claims, pokud je to možné:
E-mail (povinný, unikátní ID):
nebo user.mail / mail
Jméno (nepovinné, ale doporučené):
Příjmení (nepovinné, ale doporučené):
Externí ID (nepovinné, ale doporučené):
Zabezpečení komunikace
Seduo podporuje standardní bezpečnostní mechanismy SAML 2.0, včetně:
Sign SAML Requests – podepisování autentizačních požadavků ze strany Seduo
Algoritmus: SHA-256
Pokud zákazník vyžaduje podepisování certifikátem:
Seduo funkci aktivuje
zašleme náš certifikát ze Seduo
zašlete váš certifikát
zákazník musí ve svém IdP povolit ověřování podpisu Service Provideru