配置单个登录服务器
使用此页面配置用于认证用户的单个登录服务器 (SSO)。从 CSO 6.2.0 版开始,租户可以配置自己的 SSO 服务器来验证其用户。
SSO 配置期间涉及两个实体:
-
SSO 服务器或身份提供商 — 与 CSO 集成的外部服务器。
-
OpCo 或租户 — 充当服务提供商,并接收 SSO 服务器针对登录请求发送的 SAML 断言。
身份提供商和 OpCo 或租户相互信任,这两个实体都需要配置。两种用例是可能的:
-
Identity provider is configured first before SSO server is added in CSO—身份提供商先配置。然后,在 OpCo 级别,您可以在 CSO 中为租户用户添加 SSO 服务器,然后输入服务器名称和元数据 URL。
-
IdP is configured after SSO server is added in CSO—输入 SSO 服务器名称,然后单击 Next 按钮。CSO 提供了要在身份提供商中配置的 URL 列表。使用 URL 配置身份提供商之后,您可以编辑 SSO 服务器名称并输入元数据 URL。
对于这两种用例,在使用 SSO 服务器之前都需要元数据 URL。
要配置 SSO 服务器:
领域 |
描述 |
---|---|
基本信息 | |
SSO 服务器名称 |
指定 SSO 服务器的名称。您可以使用一串字母数字字符,特殊字符,如下列 (_) 或句点 (.) 和空格。最大长度为 40 个字符。 |
描述 |
对 SSO 服务器输入有意义的说明。 |
元数据 URL |
从需要下载应用程序元数据的地点输入 URL。 |
用户识别 |
指定如何从 SAML 断言中识别用户:
注意:
如果您使用 Microsoft Azure 作为 IdP,我们建议您使用 SAML 属性 进行用户识别。如果将 名称 ID 配置为用户标识属性,则租户用户可能面临身份验证问题。 |
字段 | 说明 |
---|---|
SAML URL |
CSO 显示 SAML URL 设置。管理员使用这些信息来配置 IDP。 |
单点登录 URL |
显示应用程序的 SAML 断言消费者服务 (ACS) URL。 示例:https://aaa-example.com/ssol/sso server name/SAML2/POST |
受众 URI(SP 实体 ID) |
显示应用程序的服务提供商实体 ID。 示例:https://aaa-example.com/Shibboleth |
元数据 URL |
显示应用程序的元数据 URL。 示例:https://aaa-example.com/saml/metadata/64000 |
单个日志 URL |
显示应用程序的单个注销 URL。 示例:https://aaa-example.com/splogout |
下载元数据 |
单击此选项可从应用程序下载元数据。 管理员可以下载 CSO 元数据并使用元数据来配置身份提供商,而不是一次配置单个身份提供商字段。 |
下载证书 |
单击此选项可从应用程序下载 SAML 证书。管理员可以使用此证书更新身份提供商的证书。 |