配置SAML2.0认证源

SAML，全称为Security Assertion Markup Language，是一种用于安全性断言的标记语言，目前的最新版本是2.0。

它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。SAML2.0可以帮助我们跨域实现单点登录。更多介绍见快速理解SAML2.0。

第一步：在管理后台添加SAML2.0认证源

登录本系统的管理后台，点击登录模块下的「认证源」，点击「添加认证源」。

点击「展开选择」按钮，可以看到标准协议的认证源。选择「SAML2.0」后，点击「确定」。

填写第三方身份提供商IDP的元数据Url（即 ID Provider Metadata Url），然后点击「保存」按钮。

系统会为您生成“回调链接”和“SP元数据信息（Service Provider Metadata Url）”，请您复制并做好记录。

第二步：返回SAML2.0身份提供商页面进行配置

把上一步的“回调链接”和“SP元数据信息”，提供给第三方身份提供商进行配置。具体的操作路径请咨询您的SAML2.0身份身份提供商。

第三步：配置关联关系

返回本系统管理后台，点击页面顶部的tab切换至「关联规则」并进行关联关系配置。

默认关联规则的条件组是：SAML2.0认证源提供的人员NameID和本系统中人员的email形成对应关系。

建议您根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。对应关系匹配成功即可登录。

若无匹配关系，默认拒绝登录。

若无匹配关系，仍需要本企业人员继续完成登录，【未匹配逻辑】模块中可选择「新建用户」，默认会生成字段对应关系，也可以自行设定。

在此设定下，用户在企业登录页面进行钉钉扫码登录时，系统会自动创建一个人员作为该用户的身份，并完成登录。

第四步：SAML2.0认证源登录测试

当您完成了SAML2.0认证源的配置之后，您可以点击「测试」按钮，来进行一次登录测试。

如果测试窗口成功打开了认证源的登录页，并且您能够通过正常的登录流程获取到登录结果信息，即证明您的认证源配置是正确的。

（图）

如果测试窗口未能成功打开，或您无法正常体验登录流程，则需要您重新检查您的配置信息是否正确。

第五步：企业登录方式中启用SAML2.0认证源

点击左侧导航菜单栏的「通用配置」，在企业登录方式配置中对该SAML2.0认证源点击开启。

（图）

配置成功后的企业登录场景

第一步：在企业SSO登录页面新增显示对应SAML2.0认证源的登录入口。点击后跳转到SAML2.0认证源登录页（当「通用配置」中关闭其他登录方式时，点击「企业SSO登录」直接跳转到SAML2.0认证源登录页）。

（图）

（图）

第二步：验证正确之后会成功登录进入本系统。