通義靈碼 SAML 集成配置詳解 - 單點登錄實現(xiàn)指南

9.5.6.5. SAML 集成

第三方集成中的 SAML 集成，可以通過集成 SAML（2.0 標(biāo)準(zhǔn)協(xié)議）連接企業(yè) SAML 身份驗證服務(wù)，實現(xiàn)單點登錄。

創(chuàng)建范圍外用戶

站點管理員可以在站點管理 > 第三方集成中配置和管理 SAML 集成。如需創(chuàng)建不在 SAML 中的用戶，可以勾選支持內(nèi)建用戶，可以創(chuàng)建同步范圍外的用戶。

配置 SAML

步驟一 配置 SAML 連接

為了建立通義靈碼靈碼 SP（Service Provider，服務(wù)提供方）對企業(yè) IdP（Identity Provider，SAML身份源）的連接，需要配置以下信息：

• SAML 元數(shù)據(jù)文檔地址：企業(yè) IdP 元數(shù)據(jù)地址。

• 公鑰：通義靈碼靈碼 SP 的自簽名證書，public.crt的文件內(nèi)容。

• 私鑰：靈碼通義靈碼 SP 私鑰，rsa_private.key的文件內(nèi)容。

私鑰和通義靈碼靈碼自簽名證書的生成命令如下：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 3650 -out public.crt

填寫完成后，單擊下一步。

步驟二 配置元數(shù)據(jù)

為了建立企業(yè) IdP 對靈碼通義靈碼的信任，需要在企業(yè) IdP 中配置靈碼通義靈碼為可信 SAML SP 并進行 SAML 斷言屬性的配置。在企業(yè) IdP 中創(chuàng)建一個 SAML SP，并根據(jù)實際情況選項下面任意一種方式配置通義靈碼靈碼為信賴方：

• 直接復(fù)制下方靈碼通義靈碼作為 SAML SP 的SAML 服務(wù)提供方元數(shù)據(jù)的 URL 地址，配置到 SAML 服務(wù)中。

• 如果企業(yè)使用的 IdP 不支持 URL 配置，可以下載SAML 服務(wù)提供方元數(shù)據(jù)文件并上傳到 IdP。

• 如果企業(yè)使用的 IdP 不支持元數(shù)據(jù)文件上傳，則需要手動配置以下參數(shù)：

  • Entity ID：下載的SAML 服務(wù)提供方元數(shù)據(jù)文件中，md:EntityDescriptor 元素的 entityID 屬性值。

  • ACS URL：下載的SAML 服務(wù)提供方元數(shù)據(jù)文件中，md:AssertionConsumerService 元素的 Location 屬性值。

  • SLO URL：下載的SAML 服務(wù)提供方元數(shù)據(jù)文件中，SingleLogoutService 的 Location 屬性值。

配置和填寫完成后，單擊下一步。

步驟三 配置賬號綁定與屬性映射

目前提供 4 種賬號識別和綁定方式：

• 自動綁定郵箱相同的賬號：按照同步策略，自動將通義靈碼靈碼、SAML 中郵箱賬號相同的用戶綁定在一起。

• 自動綁定登錄賬號相同的賬號：按照同步策略，自動將通義靈碼靈碼、SAML 中登錄賬號相同的用戶綁定在一起。

• 自動綁定手機號相同的賬號：按照同步策略，自動將通義靈碼靈碼、SAML 中手機號相同的用戶綁定在一起。

• 自動綁定工號相同的賬號：按照同步策略，自動將通義靈碼靈碼、SAML 中工號相同的用戶綁定在一起。

無論選擇哪一種賬號識別和綁定方式，均需要保證其對應(yīng)的屬性字段的唯一性和存在性，因為靈碼通義靈碼將按照選擇的方式進行賬號的一一匹配，選擇自動綁定郵箱相同的賬號的綁定過程：

接下來需配置用戶屬性映射的字段，通義靈碼靈碼將按照下圖中設(shè)置的用戶屬性字段映射關(guān)系進行信息映射。

填寫完成后，單擊下一步。

步驟四 開啟單點登錄服務(wù)

在配置過程中，單點登錄的功能默認(rèn)不開啟，開啟后，可進行 SAML 單點登錄相關(guān)配置：

• 修改 SAML 顯示名稱和顯示圖標(biāo)，修改后系統(tǒng)將按照修改的內(nèi)容顯示 SAML 的信息。

• 開啟單點登出（SLO）：默認(rèn)不開啟單點登出，勾選后需要將靈碼通義靈碼的單點登出地址配置在 SAML Idp 中方可完成 SLO 配置，完成后將可以保持通義靈碼靈碼與 SAML Idp 的登出狀態(tài)同步。

• 允許開啟首次登錄時創(chuàng)建靈碼通義靈碼賬號：

  • 默認(rèn)不勾選：登錄時僅允許 SAML 賬號與通義靈碼靈碼賬號進行綁定，匹配不到靈碼通義靈碼賬號時，通義靈碼靈碼不會根據(jù) SAML 賬號創(chuàng)建靈碼通義靈碼賬號。

  • 勾選后：允許在 SAML 賬號登錄通義靈碼靈碼且 SAML 賬號無法匹配到通義靈碼靈碼賬號時，通義靈碼靈碼創(chuàng)建新的通義靈碼靈碼賬號與之綁定。

如果選擇不開啟單點登錄，也可保存配置，后續(xù)可以在 SAML 集成詳情頁面中開啟服務(wù)。

當(dāng)完成所有配置后，單擊保存配置按鈕即可完成 SAML 集成的配置。

通過 SAML 登錄靈碼通義靈碼

開啟單點登錄后，通義靈碼靈碼登錄頁面將顯示 SAML 登錄入口，點擊后可進入 SAML 賬號登錄頁面，已綁定 SAML 賬號的用戶可以通過 SAML 賬號登錄。

退出登錄

用戶在通義靈碼靈碼退出登錄，會同時退出 SAML IdP 的登錄態(tài)。如需實現(xiàn) SAML IdP 退出登錄時退出通義靈碼靈碼，可參考配置步驟中第四步進行 SLO 配置。

會話持續(xù)時間和時長

會話持續(xù)時間以靈碼通義靈碼設(shè)置的為準(zhǔn)，若超過靈碼通義靈碼設(shè)置的登錄保持時間，會退出通義靈碼靈碼，如需繼續(xù)使用通義靈碼靈碼需要重新登錄。

修改 SAML 配置

在 SAML 集成詳情頁中，可以看到查看/修改配置入口，單擊后即可在抽屜中修改非必填的用戶屬性映射信息，其他配置信息不允許修改。

關(guān)閉單點登錄服務(wù)

在 SAML 集成詳情頁中，已經(jīng)開啟單點登錄的情況下，可單擊修改服務(wù)配置，在打開的修改配置的抽屜中可以關(guān)閉單點登錄服務(wù)，關(guān)閉單點登錄后：

• 不會解除通義靈碼靈碼賬號與 SAML 賬號的綁定關(guān)系。

• 不支持通過 SAML 賬號登錄通義靈碼靈碼，用戶若需要登錄通義靈碼靈碼，可使用靈碼通義靈碼的登錄賬號和密碼進行登錄。

移除 SAML 集成

在 SAML 集成詳情頁中，可單擊移除集成按鈕，二次確認(rèn)后即可移除 SAML 集成，移除集成后：

• 解除靈碼通義靈碼賬號和 SAML 賬號的綁定關(guān)系。

• 不支持通過 SAML 登錄通義靈碼靈碼，用戶若需要登錄通義靈碼靈碼，可使用通義靈碼靈碼的登錄賬號和密碼進行登錄。