本文概述了平台的单点登录 (SSO) 功能,以及贵组织如何启用 SSO 功能。如果您有兴趣为贵组织配置 SSO,请联系您的客户成功代表。
概述
我们为单点登录 (SSO) 提供 SAML 2.0 支持。安全断言标记语言 (SAML) 会创建端点,从而为组织的用户提供单个 URL 进行登录并选择用户有权使用的应用程序。这增强了安全级别,并且当用户在特定会话期间切换应用程序时,它通过消除进一步的登录提示来简化用户身份验证。
使用 SSO 的优点包括:
- 改进了用户体验
- 降低了内部运营成本
- 对用户进行集中管理
- 增强了企业系统的安全性
- 遵守合规性法规规定(SOX、HIPPA)
标准支持
- 我们为单点登录提供 OASIS 安全断言标记语言 (SAML) v2.0 标准支持
- 借助 SAML v2.0 支持,可以与许多常见的身份提供程序集成,包括 Microsoft Active Directory(通过ADFS)、TTivoli Federated Identity Manager、Okta 和其他联合身份验证平台
一般假设
- 我们将在 SAML v2.0 信任关系中扮演 SP(服务提供商)角色
- 我们需要来自 IDP 且符合 SAML v2.0 标准的 IDP(身份提供程序)元数据文件。IDP 元数据文件将包含:
- SingleSignOnService 端点位置
- 用于断言签名的 X.509 公共证书(如适用)
- 我们将提供一个包含以下内容的 SP 元数据文件:
- SP 端点
开发流程
典型的集成工作流程如下:
- 与指定的客户代表讨论将使用哪些配置选项
- 我们提供 SP 元数据文件 URL
- 您提供 IDP 元数据文件
- 在指定的利益相关者签署确认集成成功之前,系统将一直进行集成测试和修复工作。 应该对 IDP 启动的访问类型和 SP 启动的访问类型都进行测试。此时,一个生产窗口便已商定成功。
支持的配置
我们目前支持以下 SAML 配置:
- 单点注销 (SLO)
- 已禁用 - 我们目前不支持 SLO
- NameID 格式
- urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress(默认)
- urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
- urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
- urn:oasis:names:tc:SAML:2.0:nameid-format:transient
- urn:oasis:names:tc:SAML:2.0:nameid-format:entity
- 签署断言
- 否/是(默认)
- 签署身份验证请求
- 否
- 配置新用户
- 已禁用(默认)/已启用
- 更新现有用户属性
- 已禁用(默认)/已启用
- 首选的身份验证请求绑定:
- 发布(默认)/重定向
设置问题
使用 SSO 的第一步是首先与客户成功代表协调召开会议,回答下面的设置和 SSO 配置问题:
- 您将使用什么标识作为系统中的用户的唯一标识符?
- 我们的平台支持使用电子邮件地址或外部全局唯一标识符 (GUID)。
- 最常见的设置是使用外部 GUID 而不是电子邮件地址,以便当某个人的电子邮件地址在未来发生变化时减少问题产生。此外,员工的员工 ID 最常被用作外部 GUID。
- 是否要在进行身份验证时更新用户信息?
- 如果是,您计划包含哪些字段,以及在 SSO 系统中是否所有字段都可用?此外,您将如何在 SAML 断言中调用这些字段,以及这些字段将如何映射到平台中的字段?
- 如果用户在平台中尚未拥有帐户,是否要在进行身份验证时在平台中创建新用户?
- 如果是,您计划包含哪些字段,以及在 SSO 系统中是否所有字段都可用?此外,您将如何在 SAML 断言中调用这些字段,以及这些字段将如何映射到平台中的字段?
- 每个需要访问平台的用户都能访问您的 SSO 解决方案吗?
- 如果不能,您是否需要既支持用户名/密码表单,又支持 SSO 登录选项的双重登录体验?
配置 SSO
当我们了解了您的 SSO 需求后,我们就可以继续并开始进行设置了。接下来的步骤包括:
- 我们将提供 SP 元数据 XML。
- 您将在您这一端配置 SSO,并向我们的团队提供 IDP 元数据 XML。
- 我们将应用您的 IDP 元数据 XML 来完成设置。
- 您将进行用户测试并验证环境。
- 一旦验证成功,我们和您的团队将就产品推出的时间达成一致。