Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置单个登录服务器

使用此页面配置用于认证用户的单个登录服务器 (SSO)。从 CSO 6.2.0 版开始,租户可以配置自己的 SSO 服务器来验证其用户。

SSO 配置期间涉及两个实体:

  • SSO 服务器或身份提供商 — 与 CSO 集成的外部服务器。

  • OpCo 或租户 — 充当服务提供商,并接收 SSO 服务器针对登录请求发送的 SAML 断言。

身份提供商和 OpCo 或租户相互信任,这两个实体都需要配置。两种用例是可能的:

  • Identity provider is configured first before SSO server is added in CSO—身份提供商先配置。然后,在 OpCo 级别,您可以在 CSO 中为租户用户添加 SSO 服务器,然后输入服务器名称和元数据 URL。

  • IdP is configured after SSO server is added in CSO—输入 SSO 服务器名称,然后单击 Next 按钮。CSO 提供了要在身份提供商中配置的 URL 列表。使用 URL 配置身份提供商之后,您可以编辑 SSO 服务器名称并输入元数据 URL。

注意:

对于这两种用例,在使用 SSO 服务器之前都需要元数据 URL。

要配置 SSO 服务器:

  1. 选择管理>身份验证

    将显示认证页面。

  2. 单点登录服务器部分中单击 Plus 图标 (+)。

    将显示添加单点登录服务器页面。

  3. 按照准则表 1 完成配置。
  4. 单击 OK 保存更改。如果您想放弃更改,请单击 Cancel(改用)。
  5. 配置 SSO 服务器和 CSO 后,从认证页面单击 Test Login 按钮。

    将显示 SSO 登录页面。

    注意:

    单击 Test Login 按钮之前,必须指定元数据 URL。如果单击 Test Login 按钮而不输入元数据 URL,则会显示一条错误消息,表示必须指定元数据 URL。

    要查看 SAML 设置,请单击 View SAML 设置 按钮。参见 表 2

表 1:添加单点登录服务器页面上的字段

领域

描述

基本信息

SSO 服务器名称

指定 SSO 服务器的名称。您可以使用一串字母数字字符,特殊字符,如下列 (_) 或句点 (.) 和空格。最大长度为 40 个字符。

描述

对 SSO 服务器输入有意义的说明。

元数据 URL

从需要下载应用程序元数据的地点输入 URL。

用户识别

指定如何从 SAML 断言中识别用户:

  • 姓名 ID:从 SAML 断言主题中存在的名称 ID 字段中标识用户。

  • SAML 属性:用户从固定值属性中识别出来。

    • SAML 属性名称:输入必须用于用户识别的 SAML 属性的名称(如用户名、电子邮件或任何其他参数)。请勿使用特殊字符。确保在身份提供商配置上使用相同的属性名称。
注意:

如果您使用 Microsoft Azure 作为 IdP,我们建议您使用 SAML 属性 进行用户识别。如果将 名称 ID 配置为用户标识属性,则租户用户可能面临身份验证问题。

表 2:SAML 设置
字段 说明

SAML URL

CSO 显示 SAML URL 设置。管理员使用这些信息来配置 IDP。

单点登录 URL

显示应用程序的 SAML 断言消费者服务 (ACS) URL。

示例:https://aaa-example.com/ssol/sso server name/SAML2/POST

受众 URI(SP 实体 ID)

显示应用程序的服务提供商实体 ID。

示例:https://aaa-example.com/Shibboleth

元数据 URL

显示应用程序的元数据 URL。

示例:https://aaa-example.com/saml/metadata/64000

单个日志 URL

显示应用程序的单个注销 URL。

示例:https://aaa-example.com/splogout

下载元数据

单击此选项可从应用程序下载元数据。

管理员可以下载 CSO 元数据并使用元数据来配置身份提供商,而不是一次配置单个身份提供商字段。

下载证书

单击此选项可从应用程序下载 SAML 证书。管理员可以使用此证书更新身份提供商的证书。