瞻博网络 Mist 门户的单点登录

• 您可以使用任何支持 SAML 2.0 的 IdP。

• 您的 SAML 配置必须包含这些属性，其大小写和间距如下所示。

  • 名字（推荐）

  • 姓氏（推荐）

  • 名称 ID（必填）- 名称 ID 是用户帐户的唯一标识符。在“组织设置”页上添加 IdP 时，可以选择 ID 格式（电子邮件地址或未指定）。有关详细信息，请参阅 添加身份提供程序。

  • 角色（如果通过 API 配置default_role则为必需）- 角色用于派生应授予用户的权限。您分配给 IdP 帐户的角色必须在瞻博网络 Mist 中配置为自定义角色。有关详细信息，请参阅 为单一登录访问创建自定义角色。

    注意：

    如果一个用户帐户与多个角色相关联，请确保在瞻博网络 Mist 中将所有角色都配置为自定义角色。如果缺少角色，访问将被拒绝。

如果您为用户帐户使用多个 IdP，则可以在组织设置中添加所有 IdP。

请记住，一个 SSO 用户帐户只能与一个 SSO 关联。当您将不同的 IdP 用于测试和生产目的时，这通常最为相关。在这种情况下，请确保使用不同的用户名（或电子邮件地址，如果这是用于 NameID 的格式）设置了用户的两个 IdP 帐户。

设置至少一个具有超级用户管理员角色的本地用户帐户。这样，如果出现 SSO 问题（如证书过期），至少有一个管理员可以访问瞻博网络 Mist 门户。

其他用户不需要本地用户帐户。借助 SSO，您可以在 IdP 门户中设置用户帐户，当用户登录到瞻博网络 Mist 门户时，IdP 将执行身份验证。用户分配的角色决定了他们可以在门户中访问的功能。