单点登录 (SSO) 配置

Udemy Business 对任何支持 SAML2.0 的提供程序支持单点登录 (SSO)。

Udemy Business 管理员可以独立为您组织的 Udemy Business 帐户启用 SSO，并根据需要管理集成。此外，我们提供了许多可选设置，可用于自定义 SSO 配置。

核心功能

• 身份提供程序 (IdP) 启动的 SSO
• 用户可以从 SSO 控制面板启动登录过程
• 服务提供商 (SP) 启动的 SSO
• 用户可以访问 [您的-子域.udemy.com] 并启动登录过程。
• 实时 (JIT)/自动预配
• 系统会将通过 SSO 进行身份验证的用户在其首次登录时配置到 Udemy Business。
• 重新激活停用的用户
• 在 Udemy Business 中将用户分配到群组
• 可以通过 SSO 将用户分配到 Udemy 群组。 
• 请注意，该群组必须已经存在于 Udemy 中，才能通过 SSO 将用户分配给该群组，并且群组属性必须作为 SAML 断言中的声明发送。如果您希望创建、删除和编辑群组成员（可通过 SSO + SCIM 完成）。 

注意： 

• SSO 集成仅适用于 Enterprise 方案用户。 
• SSO 集成只能由您组织的 Udemy Business 帐户中的许可管理员配置。

在何处配置 SSO

要在您的 Udemy Business 帐户中设置和管理您组织的 SSO 集成，请执行以下操作：

1. 登录您的帐户，然后单击右上角菜单中的管理。
2. 选择设置。
3. 接下来，单击左侧菜单中的单点登录 (SSO)。
4. 如果您没有活动集成，请单击开始设置按钮并选择要与之集成的身份提供程序。

请查看下面的适用文章，以指导您设置 SSO 集成。注意：如需有关使用其他/自定义身份提供程序设置 SSO 的帮助，请联系我们的支持团队。

• 如何为 Azure AD 配置 SSO 
• 如何为 ADFS 配置 SSO
• 如何为 Okta 配置 SSO
• 如何为 OneLogin 配置 SSO
• 如何为 G Suite for Work 配置 SSO
• 如何配置自定义 SSO 连接
• 队列学习：查看如何为我们的队列学习平台 Corp U 配置 SSO。

可选 SSO 设置

配置 SSO 集成后，您可以通过单击页面底部的可选设置下拉菜单来访问这些选项。

请注意：如果您收到通知表明您的帐户与我们的自助 SSO 功能不兼容，并希望修改任何可选设置，请联系 Udemy 支持人员。

可选 SSO 设置包括：

• 仅通过 SSO 提供程序登录：
  所有用户都将强制通过 SSO 进行登录。如果没有选择此选项，用户可以通过 SSO 或他们的用户名及密码登录。
• 注意：建议所有新配置都以可选 SSO 开头，以确保配置中的任何错误都不会影响当前的用户体验。
• 自定义重定向 URL：
  插入当您的 SSO 连接发生错误时，您希望用户登录的页面的 URL。
• 会话超时：
  设定一个时间，超过此时间后，非活跃用户将自动从 Udemy Business 帐户退出。
• 单点退出：
  当用户从 Udemy Business 退出时，同时也会从所有 SSO 应用退出。
• 允许 SSO 自动配置：
  通过 SSO 登录的新用户将自动配置许可证。否则，只有现有用户和受邀加入帐户的用户才允许登录并使用许可证。
• 用例：当管理员希望直接管理用户访问时，可以禁用此功能。
• 允许已停用用户通过 SSO 重新激活：
  被停用的用户通过 SSO 再次登录时，将自动重新激活（如果这些用户也将配置为通过 SSO 访问）。 

如何暂停或删除 SSO 连接

1. 访问权限：管理 > 设置 > 单点登录 (SSO)。
   *注意：删除连接将删除所有连接信息，并且无法恢复。

• 了解如何更新 SAML 签名证书。

Udemy Business 支持以下 SAML 属性

所有属性都区分空格和大小写，并且不能包含冒号。

必需的属性

• email ：用户唯一的电子邮件 

可选的属性

• firstName：用户的名字

• middleName：用户的中间名（如有）

• lastName：用户的姓氏

• displayName：用户的全名

• Name ID：名字重复时可用的标识符

• groups：用户所属的群组列表

• externalID：客户指定的唯一用户 ID

本文概述了如何使用 Udemy Business 为支持 SAML2.0 SSO 的任何身份提供程序配置单点登录 (SSO)。

其他资源：

• Udemy Business SSO 和核心功能概述
• 预配置 IdP（Okta、Azure、AD FS、OneLogin、Google Workspace）的实施指南
• 队列学习：查看如何为我们的队列学习平台 Corp U 配置 SSO。

请注意：SSO 集成仅适用于 Enterprise 方案。

LMS SSO 设置

我们的帮助中心也提供了有关如何将以下学习管理系统与 Udemy Business 集成的步骤。

• Cornerstone OnDemand
• SuccessFactors

如何配置 SSO
先决条件

1. 下载 Udemy Business SSO 元数据文件。
2. 您是 Udemy 环境中的管理员。

第一部分 - 将 Udemy Business 设置为服务提供程序

有关在系统中建立 SSO 连接的具体说明，我们建议查阅您的文档

      3. 通过保存文件或复制 URL，使用提供的 UB 元数据文件在身份提供程序中配置 SSO。此过程因身份提供程序而异，因此有关详细信息，请参阅特定的身份提供程序文章。

     4. 确认 SAML 配置值：

• • 实体 ID：PingConnect
  • ACS URL： https://sso.connect.pingidentity.com/sso/sp/ACS.saml2
  • 登录/基本 URL：您的 Udemy 环境 URL。({company}.udemy.com)
  • X509 证书：可在我们的文件中找到

     5. 确认 SAML 属性。默认情况下，身份提供程序通常提供这些属性，但您可能希望编辑这些属性。

必需的属性

• 电子邮件：用户唯一的电子邮件

可选的属性

• 名字：用户的名字
• 姓氏：用户的姓氏
• 群组：用户所属的群组列表
• 外部 ID： 客户指定的唯一用户 ID
  

6. 从系统下载元数据文件

第二部分 - 配置 Udemy

1. 登录 Udemy Business
2. 管理 > 设置  > 单点登录 (SSO) > 启动设置，然后选择自定义。
   
   
3. 连接名称：可以是任何内容（例如 CSOD SSO）。
4. 通过 URL 或以前从系统下载的文件导入元数据。
5. 确认配置
   • • 验证您环境的所有参数是否都正确。
       
       
6. 保存。如果设置应用成功，则右下方将显示一个横幅。

您的 SSO 配置已完成！

本指南提供使用安全断言标记语言 (SAML 2.0) 为 Udemy Business 配置单点登录 (SSO) 所需的步骤。

• 访问 Udemy Business SAML Azure AD 元数据。
• 队列学习：查看如何为我们的队列学习平台 Corp U 配置 SSO。

1. 为 Azure 设置单点登录

登录您的 Azure 门户并点击 Azure Active Directory。

然后选择 Enterprise 应用。

 现在点击顶部导航栏中的 + 新应用。

 选择创建您自己的应用程序。

输入新应用程序的名称，然后单击窗口结尾处的集成库（非库）中找不到的任何其他应用程序。

然后选择设置单点登录。

针对单点登录模式，选择基于 SAML 的登录。

在 SAML SSO 屏幕按照 4 个步骤操作。Azure AD 还在页面顶部提供了详细的配置指南以提供进一步的指导。

第 1 步，SAML 基本配置：

• 在标识符（实体 ID）字段，输入 PingConnect。
• 在回复 URL 字段，输入此值：https://sso.connect.pingidentity.com/sso/sp/ACS.saml2。
• 在登录 URL 字段，输入您的 Udemy Business 帐户 URL：https://{yoursubdomain}.udemy.com。
• 将 {yoursubdomain} 替换为贵组织的唯一 Udemy Business 子域。
  

第 2 步，用户属性和声明：

在用户标识符字段，输入user.mail。

Udemy Business 支持以下 SAML 属性 

请注意：所有属性都区分空格和大小写，不含冒号。

所需属性

• email：用户唯一的电子邮件地址 

可选属性 

• firstName： 用户的名字
• middleName： 用户的中间名（如有）
• lastName：用户的姓氏
• displayName：用户的全名
• Name ID：名字重复时可用的标识符
• groups：用户所属的群组列表
• externalID : 客户指定的唯一用户 ID
•  

要更改各项属性，点击相应的行。

如上表所述，输入属性名称，选择相应的值并移除 Namespace 值（留空），然后点击确认。

要为您的 SAML 断言添加更多属性，点击添加属性并重复该流程。

添加完属性后，点击保存以完成配置。

第 3 步，在 SAML 签名证书部分，复制应用联合元数据 URL 或点击下载联合元数据 XML，此操作将导出元数据文件。

下载元数据文件后，返回 Udemy 门户上传元数据文件，方法是转到您的 Udemy Business 帐户的“管理”>“设置”>“单点登录 (SSO)”选项卡。单击开始设置并选择您的身份提供程序。 

在“配置”页面上，选择适当的元数据配置方法，然后按照说明创建与您的身份提供程序和 Udemy Business 的 SSO 连接。有关其他详细信息，您可以查看我们的为您的身份提供程序配置 SSO 页面。

点击 Azure Active Directory。

选择 Enterprise 应用。

从列表中选择您新创建的应用。

点击用户和群组。

点击添加用户 -> 用户和群组

选择要添加到应用的所有用户，然后点击选择。

您现在已完成在 Azure AD 中配置 Udemy Business 的 SSO。

希望在 Azure AD 中启用 SCIM 预配的现有 Azure AD 和 Udemy Business 客户 

请使用此配置指南。

其他说明：

• 单点登录和预配适用于 Udemy Business Enterprise 方案客户。
• 通过 Azure AD 配置的用户在首次登录 Udemy Business 应用之前不会获得许可证。 
• SCIM 配置更改只能从 Azure AD 同步到 Udemy Business，反之则不行。 
• 在 Udemy Business 应用中，无法在 Azure AD 中更改由 SCIM 管理的用户和群组，SCIM 是用户和群组数据的唯一真实来源。
• 如果您有不需要或不想从 Azure AD 推送的用户（如承包商或临时员工），仍然可以在 Udemy Business 中手动创建群组。

本指南提供使用安全断言标记语言 (SAML 2.0) 为 Udemy Business 配置单点登录和使用跨域身份管理系统 (SCIM) 进行配置所需的步骤。 

想要在 Okta 中启用 SCIM 配置的现有 Okta 和 Udemy Business 客户应该使用本配置指南。

了解如何在组织级别配置高级 SSO 设置。

请注意：

• 单点登录和配置适用于 Udemy Business Enterprise 方案客户。
• 通过 Okta 配置的用户在首次登录 Udemy Business 应用之前不会获得许可证。 
• SCIM 配置更改只能从 Okta 同步到 Udemy Business，反之则不行。 
• 在 Udemy Business 应用中，无法在 Okta 中更改由 SCIM 管理的用户和群组，SCIM 是用户和群组数据的唯一真实来源。

内容

• 支持的 SAML 属性
• 配置步骤

功能

了解更多有关 Udemy Business 通过单点登录 (SSO) 支持的配置功能的信息。

Udemy Business 支持以下 SAML 属性 

请注意：所有属性都区分空格和大小写，不含冒号。

所需属性

• email：用户唯一的电子邮件地址 

可选属性 

• firstName：用户的名字

• middleName：用户的中间名（如有）

• lastName：用户的姓氏

• displayName：用户的全名

• Name ID：名字重复时可用的标识符

• groups：用户所属的群组列表

• externalID：Okta 会自动使用 Okta 用户 ID 填充外部 ID 属性。如果您希望保留自己的唯一用户 ID，可以按照本文的说明在 Okta 上完成相关设置，设置 SSO 并映射您的 Udemy 外部 ID 属性。

配置步骤

1 - 要开始使用，请登录您的 Udemy Business 帐户，然后从管理 > 设置 > 单点登录 (SSO) 转到用户访问页面。

单击开始设置。配置过程中，选择您的身份提供程序并按照其中的说明启用 SCIM，然后生成用于输入到身份提供程序的凭据。

2 - 在 Okta 中，从侧边栏访问应用程序页面。

3 - 单击浏览应用目录，搜索 Udemy Business 并单击添加。

4 - 添加 Udemy Business 应用会将您重定向到应用常规设置 - 必填页面，如下所示。为您的应用程序标签选择一个名称，然后单击完成。

5 - 接下来，单击登录选项卡，然后单击编辑。

向下滚动到高级登录设置，并将下面的受众 URI（SP 实体 ID）值添加到相应的字段中，然后单击保存。

d905a6ca-adf9-45e2-9b9d-0d6485f27206

6 - 在同一页面上，向下滚动到 SAML 签名证书。单击操作，然后单击查看 IdP 元数据。将元数据 URL 复制到剪贴板。 

（或者，您可以选择下载证书以将元数据文件下载到您的计算机。）

7 - 导航回您的 Udemy Business 帐户并访问单点登录 (SSO) 设置。在“配置”页面上，选择适当的元数据配置方法，然后按照说明创建与您的身份提供程序和 Udemy Business 的 SSO 连接。

注意：如果您希望在可选设置中启用仅通过 SSO 提供商登录，则在启用此功能之前，请注销并通过 SSO 重新登录来确保您的 SSO 正常工作。否则，您可能无法使用您的 Udemy Business 帐户。

8- 单击保存。SSO 设置现已完成！

如果您想要继续并在 Okta 中设置 SCIM 预配，请使用此配置指南。

Udemy Business 通过基于 SAML 2.0 的单点登录 (SSO) 支持联合身份认证。启用 SSO 后，企业客户可以使用其企业身份系统来管理员工身份认证和对其 Udemy Business 学习网站的认证。 

本文将介绍为 OneLogin 添加和设置 Udemy Business SSO 的所有关键步骤。而您也可以参考这篇有关配置应用的 OneLogin 文章，了解更多详细信息。

了解如何在组织级别配置高级 SSO 设置。

功能

了解更多有关 Udemy Business 通过单点登录 (SSO) 支持的配置功能的信息。

Udemy Business 支持以下 SAML 属性

请注意：所有属性都区分空格和大小写，不含冒号。

所需属性

• email：用户唯一的邮件地址 

可选属性 

• firstName： 用户的名字
• middleName：用户的中间名（如有）
• lastName：用户的姓氏
• displayName：用户的全名
• Name ID：名字重复时可用的标识符
• groups：用户所属的群组列表
• externalID： 客户指定的唯一用户 ID

配置 Udemy Business 和 Onelogin 的步骤：

1. 添加 OneLogin 应用目录中的 Udemy Business 应用
2. 下载 SAML 元数据（以下载到您的 Udemy Business 帐户）
3. 将 OneLogin SAML 元数据上传到 Udemy Business 帐户
4. 将用户分配到 OneLogin 中的 Udemy Business 应用

步骤 1：添加 OneLogin 应用目录中的 Udemy Business 应用

首先导航至 OneLogin 管理员控制面板中的“应用”>“添加应用”。然后，在“应用目录”中搜索“Udemy Business”。

选择添加应用：

搜索并点击 Udemy Business：

点击保存以添加应用：

导航至配置选项卡并输入您的 Udemy Business 子域，然后保存。例如，如果贵公司名为 Acme Co.，而您的 Udemy Business 域是 https://acmeco.udemy.com，您要在文本字段中输入 acmeco：

步骤 2：下载 SAML 元数据（以输入到您的 Udemy Business 帐户）

还是在上一步的 Udemy Business 应用选项卡，导航至更多操作按钮：

点击 SAML 元数据按钮以下载 SAML Metadata 文件。保存文件以供下一步使用：

步骤 3：上传 OneLogin SAML 元数据到 Udemy Business 帐户（请注意：这一步需要 Udemy Business 管理员访问权限）

在您的 Udemy Business 帐户中，导航至管理 > 设置 > 单点登录 (SSO)：

从左侧菜单中选择单点登录选项卡。

点击开始配置下拉菜单并选择 OneLogin：

添加连接名称，选择上一步中的 OneLogin 元数据文件，然后点击保存：

步骤 4：将用户分配到 OneLogin 中的 Udemy Business 应用

返回您的 OneLogin 帐户，在“访问”选项卡和“用户”选项卡中，针对新创建的应用配置用户的访问权限，可以选择将 Udemy Business 应用添加到角色（推荐），或将应用添加到具体的用户。请参阅有关如何将用户分配到应用 OneLogin 的文章。 

您现在已完成在 OneLogin 中配置 Udemy Business 的 SSO。

已添加到 Udemy Business 帐户的用户或角色现在应该可以顺利登录并通过 OneLogin SSO 进行验证！

有关 OneLogin 的更多信息请参阅 OneLogin 知识库。

SSO 已设置，因此您也可以在 OneLogin 中配置 Udemy Business 的 SCIM 配置 。这将允许您在 OneLogin 中配置、取消配置、创建群组、管理群组成员和更改用户个人资料详细信息（如姓名和电子邮件地址）。在 OneLogin 中所做的所有任何更改都将自动更新到 Udemy Business 和您通过这一机制设置的所有其他应用，以便您可以在一个地方集中管理您的用户。  

您不需要使用这些操作分别更新 OneLogin 和 Udemy Business，因为他们都将在 OneLogin 中同步。 了解更多有关使用 OneLogin 配置 SCIM 配置的信息 。

在本教程中，我们将使用来自 ADFS 的元数据在 Udemy Business 中设置 ADFS。

• 访问 Udemy Business SAML ADFS 元数据。
• 了解如何在组织级别配置高级 SSO 设置。
• 注意：SSO 集成仅适用于 Enterprise 方案。

功能

了解更多有关 Udemy Business 通过单点登录 (SSO) 支持的配置功能的信息。

配置 ADFS

1. 启动 ADFS 2.0 控制台。

2. 在信任关系 > 依赖方信任下，添加新的依赖方信任。  此时将会启动下方显示的向导。

3. 然后，系统会提示您导入 Udemy Business 元数据文件。Udemy Business SAML ADFS 元数据链接在此处。

4. 为连接输入名称，例如 Udemy Business。 

5. 在选择发行授权规则一步，选择允许所有用户访问此依赖方信任。   

6. 点击下一步以查看总结，并完成导向。  

 7. 勾选“打开编辑声明规则…”选项并结束向导。

8. 这将启动编辑声明规则配置实用程序。  

9. 此示例仅收集来自 Active Directory 的声明来呈交给 Udemy Business。 

10. 配置基本声明集。

Udemy Business 支持以下 SAML 属性（所有属性都区分空格和大小写）。

所需属性

• email
  用户唯一的电子邮件地址 

可选属性 

• firstName
  用户的名字
• middleName
  用户的中间名（如有）
• lastName
  用户的姓氏
• displayName
  用户的全名
• Name ID
  名字重复时可用的标识符
• groups
  用户所属的群组列表
• externalID
  客户指定的唯一用户 ID

11. 配置好声明后，返回 ADFS 2.0 依赖方信任窗口，右键单击新创建的连接，查看该连接的属性。导航至加密选项卡并移除加密证书。    

12. 至此 ADFS 配置便已完成。然后，您应该下载元数据并将其输入到您的 Udemy Business 帐户以创建 SSO 连接。

您可以通过输入您的服务器名称并与以下地址链接以查找元数据文件：

https://<ADFS server name>/FederationMetadata/2007-06/FederationMetadata.xml

访问您的 Udemy Business 帐户的单点登录 (SSO) 选项卡。点击“开始设置”并选择您的身份提供程序。在“配置”页面上，选择适当的元数据配置方法，然后按照说明创建与您的身份提供程序和 Udemy Business 的 SSO 连接。

在本教程中，我们将配置 Google Workspace（前称 G Suite 和 Google Apps for Work）。 

• 访问 Udemy Business SAML Google Workspace 元数据。
• 了解如何在组织级别配置高级 SSO 设置。
• 注意：SSO 集成仅适用于 Enterprise 方案。

特色

了解更多有关 Udemy Business 通过单点登录 (SSO) 支持的配置功能的信息。

找到您的 SaasID

要配置 Google Workspace，您需要有 SaasID。此值由 Udemy 提供，也是访问 Udemy 的子域，例如 yoursubdomain，Udemy Business 在此的完整地址是 yoursubdomain.udemy.com。

除了您的 SaasID，要配置 Google Workspace，您还需要以下参数。

• ACS URL
  https://sso.connect.pingidentity.com/sso/sp/ACS.saml2?saasid=yoursubdomain
• 实体 ID
  PingConnect
• 起始 URL
  https://pingone.com/1.0/d905a6ca-adf9-45e2-9b9d-0d6485f27206

在 Google Workspace中创建新的 SAML 应用

以下步骤简要概述如何在 Google Workspace 中创建新的 SAML 应用。

• 登录 Google Workspace for Work 管理控制台。
• 导航至应用 > Web 和移动应用。
  
  
• 单击添加应用 > 添加自定义 SAML 应用。
  
  
• 输入应用名称和描述，如果愿意可以上传一个徽标，然后单击继续。
• 单击选项 1 下的下载元数据，然后单击继续。
  
  
• 使用下面的属性值填写 ACS URL、实体 ID、起始 URL 和名称 ID，然后单击“继续”。
  • ACS URL
    https://sso.connect.pingidentity.com/sso/sp/ACS.saml2?saasid=yoursubdomain
    实体 ID
    PingConnect
    起始 URL
    https://pingone.com/1.0/d905a6ca-adf9-45e2-9b9d-0d6485f27206
    
    
• 如果用户只会直接从帐户 URL（即 yoursubdomain.udemy.com）访问 Udemy Business，可将起始 URL 留空。如果用户会从 Google Workspace 访问 Udemy Business，那么您需要为“起始 URL”应用以下值：https://pingone.com/1.0/d905a6ca-adf9-45e2-9b9d-0d6485f27206
• 接下来，完全按照下面的屏幕截图所示添加属性。
  
  
• 单击完成以完成向导。
• 默认情况下，新的应用对所有人关闭。要打开此功能，请返回应用 > Web 和移动应用，然后单击用户访问。
  
  
• 在服务状态中，将开关切换为对所有人开启，然后单击保存。
  
  
• 最后，您将获取在第 5 步中创建的元数据文件并将其输入您的 Udemy Business 帐户以创建 SSO 连接。
  在 Udemy Business 中，访问单点登录 (SSO) 选项卡。单击开始设置并选择 Google Workspace。
  
  
• 在配置页面上，选择元数据文件和选择文件。然后上传从第 5 步收到的文件。
  
  

请注意：在 Google Workspace 中添加新的 SAML 应用时，流程可能需要长达 24 小时才能完成。

创建 SAML 应用后，您可以配置将在 SAML 断言中发送的属性。

Udemy Business 支持以下 SAML 属性

请注意：所有属性都区分空格和大小写，不含冒号。所需属性

• email：用户唯一的电子邮件地址 

可选属性 

• firstName： 用户的名字
• middleName： 用户的中间名（如有）
• lastName：用户的姓氏
• displayName：用户的全名
• Name ID：名字重复时可用的标识符
• groups：用户所属的群组列表
• externalID : 客户指定的唯一用户 ID

本文介绍了管理员如何为配置了单点登录 (SSO) 的 Udemy Business 帐户替换安全断言标记语言 (SAML 2.0) 签名证书。 

如何在 Udemy Business 中更新 SSO 证书

您可以使用我们的自助设置替换您 Udemy Business 帐户中的 SAML 签名证书。 

1. 访问管理 > 设置 > 单点登录 (SSO)。 
2. 使用替换证书链接上传新的 SAML 签名证书，该证书由您的身份提供程序提供。
3. 在 Udemy Business 中更新证书后，替换您的身份提供程序中的证书。 

请注意：请先在 Udemy Business 中更新 SAML 签名证书，然后再在您的身份提供程序中更新该证书。这将有助于确保避免发生证书不匹配，从而阻止您的团队访问您的 Udemy Business 帐户。

本文概述了 Udemy Business 通过单点登录 (SSO) 支持的配置功能。 

• 注意：SSO 集成仅适用于 Enterprise 方案。

通过 SSO 支持以下配置功能：

身份提供程序 (IdP) 启动的 SSO

• 用户可以从 OneLogin 控制面板启动登录过程

服务提供商 (SP) 启动的 SSO

• 用户可以访问 [您的-子域.udemy.com]，并在 Udemy Business 登录页面启动登录过程。

实时 (JIT) 配置

• 系统会将通过 SSO 进行身份验证的用户在其首次登录时配置到 Udemy Business。
• 配置为发送的所有用户属性将在用户登录时更新。

重新激活用户

• 可以在 Udemy Business 上重新激活用户帐户。