配置SAML2.0认证源

SAML,全称为Security Assertion Markup Language,是一种用于安全性断言的标记语言,目前的最新版本是2.0。

它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。SAML2.0可以帮助我们跨域实现单点登录。更多介绍见快速理解SAML2.0

第一步:在管理后台添加SAML2.0认证源

登录本系统的管理后台,点击登录模块下的「认证源」,点击「添加认证源」。

img

点击「展开选择」按钮,可以看到标准协议的认证源。选择「SAML2.0」后,点击「确定」。

img

填写第三方身份提供商IDP的元数据Url(即 ID Provider Metadata Url),然后点击「保存」按钮。

img

系统会为您生成“回调链接”和“SP元数据信息(Service Provider Metadata Url)”,请您复制并做好记录。

img

第二步:返回SAML2.0身份提供商页面进行配置

把上一步的“回调链接”和“SP元数据信息”,提供给第三方身份提供商进行配置。具体的操作路径请咨询您的SAML2.0身份身份提供商。

第三步:配置关联关系

返回本系统管理后台,点击页面顶部的tab切换至「关联规则」并进行关联关系配置。

img

默认关联规则的条件组是:SAML2.0认证源提供的人员NameID和本系统中人员的email形成对应关系。

img

建议您根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。对应关系匹配成功即可登录。

若无匹配关系,默认拒绝登录。

若无匹配关系,仍需要本企业人员继续完成登录,【未匹配逻辑】模块中可选择「新建用户」,默认会生成字段对应关系,也可以自行设定。

img

在此设定下,用户在企业登录页面进行钉钉扫码登录时,系统会自动创建一个人员作为该用户的身份,并完成登录。

第四步:SAML2.0认证源登录测试

当您完成了SAML2.0认证源的配置之后,您可以点击「测试」按钮,来进行一次登录测试。

img

如果测试窗口成功打开了认证源的登录页,并且您能够通过正常的登录流程获取到登录结果信息,即证明您的认证源配置是正确的。

(图)

如果测试窗口未能成功打开,或您无法正常体验登录流程,则需要您重新检查您的配置信息是否正确。

第五步:企业登录方式中启用SAML2.0认证源

点击左侧导航菜单栏的「通用配置」,在企业登录方式配置中对该SAML2.0认证源点击开启。

(图)

配置成功后的企业登录场景

第一步:在企业SSO登录页面新增显示对应SAML2.0认证源的登录入口。点击后跳转到SAML2.0认证源登录页(当「通用配置」中关闭其他登录方式时,点击「企业SSO登录」直接跳转到SAML2.0认证源登录页)。

(图)

(图)

第二步:验证正确之后会成功登录进入本系统。