SAML2.0配置
1 功能简介
SAML2.0:安全断言标记语言,使用统一的身份提供服务(IDP)验证用户身份,然后将认证后的安全断言和用户信息返回给简道云,简道云将用户与简道云内账号系统关联。
登录页的设置方式参考文档:「自定义登录页」
2 使用现有系统的 SAML 功能
如果用户使用的系统中集成了 SAML 功能,用户可以自行查阅相关资料进行配置。下面以 OneLogin 的配置过程举例:
2.1 身份认证服务配置
首先选择支持SAML 认证协议的身份认证服务商,以下以OneLogin 为例介绍:
1) 以管理员身份登录企业的 OneLogin 账号,进入 Administration;
2) 进入 Company Apps ,点击ADD APP。搜索SAML,并选择 SAML Test Connector (IdP w/attr);
3)进入应用Info页面设置名称及图标;
4)进入应用SSO 页面,即可获得 SAML 2.0 Endpoint (HTTP) 、Issuer URL、 SLO Endpoint (HTTP) 以及 View Details 内的 X.509 Certificate 等信息;
2.2 简道云内的单点登录配置
以下在简道云内进行操作:
1)账户中心>>企业管理>>企业信息>>单点登录>>开启/ 配置;
2)将 OneLogin 内获得的 SSO 相关信息写入,即可获得「认证返回地址」;
- SAML 2.0 Endpoint (HTTP):简道云发送 SAML 时请求的地址(必填)
- IdP 公钥:身份提供商用于签名的公钥证书(必填)
- SAML 加密算法:SHA-1、SHA-256、SHA-512(必填)
- Issuer 地址:使用身份提供商的应用标识(必填)
- SLO Endpoint (HTTP):若填写此项,用户从简道云登出后,会同时登出该 Idp 下所有 SAML 应用(选填)
3)将「认证返回地址」写入 OneLogin 的ACS (Consumer) URL和ACS (Consumer) URL Validator,即可完成配置
2.3 成员帐号配置
进入 USERS 的点击 「NEW USER」,添加新的成员;
然后从ALL USERS里找到这个用户,将他添加到需要单点登录的应用里;
在更多操作里为此成员设置登录密码。(成员在首次登录的时候需要输入OneLogin 中的登录密码)
2.4 配置username
在OneLogin 里找到之前创建的这个应用,然后添加参数username。
2.5 SSO 登录
登录页的设置参考文档「自定义登录页」 完成以上操作后,相关成员就可以在移动端或 Web 端通过 SSO 的方式直接登录简道云。
- 在登录之前需要先设置好企业账号URL,成员通过企业账号URL进行单点登录;
- 首次登录需要输入认证服务商(如OneLogin )中的用户名和密码。
本文以OneLogin为例介绍单点登录配置方式,其他支持 SAML认证协议的身份认证服务商皆可同理配置单点登录。
3 自行开发对接层
SAML 是一个标准协议,因此开发人员在动手开发前,必须对此协议有一定的了解,此处给出官方文档以供参考。
用户给出的 IdP 必须能够返回符合标准的 SAMLResponse,其 IdP 的 EntityId 必须与管理员在简道云配置的 Issuer 一致,并在 Attribute 段包含一个名为 username 的属性,其值对应成员在简道云内的编号。此外,IdP 必须返回 RelayState。
开发人员可以参考:
- Node.js : >>示例工程。
400-111-0890
在线咨询