配置 SSO 设置

要访问此页面，请单击管理 > 单一登录。您可以从“单一登录配置”页配置、激活或停用单一登录（SSO）。

SSO 配置期间涉及的实体包括：

身份提供程序（IdP） - 处理用户身份管理的外部服务器。例如，Okta 和 Microsoft Azure。
服务提供商（SP） — 瞻博网络 ATP 云充当接收 IdP 发送的 SAML 断言以响应登录请求的 SP。

IdP 和 SP 相互信任并共享配置。

准备工作：

请参阅使用 SAML 2.0 身份提供程序设置单点登录。
确保已使用 SSO SAML 设置配置 IdP。

注意：

您必须为每个领域配置 SSO 设置。

要配置 SSO 设置，请执行以下操作：

选择管理>单一登录。
按照表 1 中的准则完成配置。
单击保存。

配置 SP 设置和 IdP 设置后，可以激活 SSO。要激活 SSO，请单击激活。

要停用现有 SSO，请单击停用。

表 1：SSO 设置
领域	描述
服务提供商设置
显示名称	输入 SSO 设置的显示名称。
实体 ID	输入瞻博网络 ATP 云客户门户的唯一标识符。
用户名属性	输入 SAML 的用户名属性。用户名属性是必需的，并且必须采用电子邮件地址格式。用户名属性映射到用户数据，该数据由 IdP 在 SAML 断言响应中提供。
对身份验证请求进行签名	启用切换按钮，对从瞻博网络 ATP 云发送到 IdP 的 SAML 身份验证请求进行签名。如果启用签名身份验证请求，则必须同时提供私钥和公钥证书。
加密 SAML 响应	启用切换按钮以指定对 IdP 返回的 SAML 断言进行加密。如果已启用加密 SAML 响应，则必须同时提供私钥和公钥证书。注意：如果您在瞻博网络 ATP 云客户门户中为 SAML 响应启用了加密，但来自 IdP 的 SAML 响应未加密，则 SAML 身份验证将被拒绝。
私钥	输入私钥。私钥由用户在本地生成。在瞻博网络 ATP 云中，私钥用于对 SAML 身份验证请求进行签名。私钥不会与 IdP 共享。
公钥证书	输入公钥证书。公钥证书由用户在本地生成。您必须在 IdP 门户中上传相同的公钥证书。在 IdP 中，公钥证书用于验证瞻博网络 ATP 云发送的 SAML 身份验证请求。
角色选项	选择使用默认角色或输入 IdP 特定角色。
默认角色
默认角色	为 SAML 用户在领域中选择默认角色。如果尚未在“角色映射”部分下输入角色，则必须指定域的默认角色。从列表中选择默认角色。系统管理员 - 完全权限操作员完全权限，但无法创建用户观察者只读权限无 - 无默认角色注意：您必须配置角色属性或默认角色才能登录到 SSO 页面。
名字	输入 SAML 用户的名字属性。第一个 name 属性用于创建用户配置文件。如果未提供名字，则将电子邮件地址的一部分用作创建用户配置文件的名字。
姓氏	输入 SAML 用户的姓氏属性。姓氏属性用于创建用户配置文件。如果不提供姓氏，则将电子邮件地址的一部分用作姓氏来创建用户配置文件。
IdP 特定角色
组属性	（可选）输入在 IdP 中配置的组属性。示例：角色
管理员	（可选）输入必须映射到瞻博网络 ATP 云管理员角色的 IdP 特定角色。示例：role_admin
算子	（可选）输入必须映射到瞻博网络 ATP 云操作员角色的 IdP 特定角色。示例：role_operator
观测器	（可选）输入必须映射到瞻博网络 ATP 云观察者角色的 IdP 特定角色。示例：role_observer
姓氏	输入 SAML 用户的姓氏属性。姓氏属性用于创建用户配置文件。如果不提供姓氏，则将电子邮件地址的一部分用作姓氏来创建用户配置文件。
名字	输入 SAML 用户的名字属性。第一个 name 属性用于创建用户配置文件。如果未提供名字，则将电子邮件地址的一部分用作创建用户配置文件的名字。
导出 SP 元数据	单击此项可下载 XML 格式的 SP 元数据。管理员可以下载并使用 SP 元数据一次在 IdP 门户中动态配置所有 SP 设置。管理员无需手动配置单个 SP 设置。
身份提供程序设置
身份提供商设置	选择导入设置以一次性导入 IdP 元数据。要手动配置 IdP 设置，请选择手动输入设置。
进口	选择 XML 格式的 IdP 元数据，然后单击导入。
实体 ID	输入 IdP 的唯一标识符。如果导入 IdP 元数据，信息将自动更新。
登录网址	在 IdP 中输入用于用户身份验证的重定向 URL。如果导入 IdP 元数据，信息将自动更新。
身份提供商证书	输入 IdP 证书以解密 SAML 响应。如果导入 IdP 元数据，信息将自动更新。

配置 SSO 设置

相关文档