企業使用 Entra ID、Okta、ADFS 或 Google Workspace 等身份管理系統時,可通過 SAML 2.0 協議將其與 IDaaS EIAM 對接,實現員工使用已有企業帳號統一登入。本文介紹綁定 SAML 身份提供方的完整配置流程、綁定情境選擇及常見問題排查方法。
基本概念
通過綁定 SAML 身份提供方,可以使用企業已有的身份管理平台帳號登入 IDaaS EIAM。
概念 | 說明 |
SAML | 安全性聲明標記語言(Security Assertion Markup Language),基於 XML 的開放標準,用於在身份供應商(IdP)和服務提供者(SP)之間交換身分識別驗證和授權資料。當前使用 SAML 2.0 版本。 |
IdP | Identity Provider,身份供應商。當前情境中指 Entra ID、Okta、ADFS 等外部身份系統,負責認證並返回 SAML 斷言。 |
SP | Service Provider,服務提供者。當前情境中指 IDaaS EIAM,負責接收並解析 IdP 返回的 SAML 斷言,完成使用者登入。 |
聯邦認證 | Federated Authentication,指 SP 信任並使用 IdP 的認證結果。在當前情境中,即 IDaaS EIAM 信任 Entra ID、Okta、ADFS 或 Google Workspace 等身份提供方的認證結果,實現 IDaaS EIAM 賬戶登入。聯邦認證常被用於支援單點登入。 |
綁定 SAML 身份提供方
IDaaS EIAM 採用標準的 SAML 2.0 協議實現聯邦認證。只要身份提供方(如 Entra ID、Okta、ADFS、Google Workspace)支援標準 SAML 2.0 協議,即可作為 IDaaS EIAM 的身份提供方接入,使用其中的帳號登入到 IDaaS EIAM。
在 IDaaS 建立 SAML 身份提供方
進入 IDaaS EIAM 控制台,單擊 身份源 > 入方向 > 添加入方向,選擇 SAML 身份提供方,單擊添加。
在右側彈窗的绑定 SAML 身份提供方中填寫以下資訊:
显示名称:該名稱為 SAML 身份提供方的名稱,是展示在登入頁中的登入方式名稱。
登录配置:在 IdP Metadata 輸入框中輸入從步驟"在 IDaaS 建立 SAML 身份提供方"中儲存的 Metadata URL,單擊 解析 按鈕。系統將自動解析 XML 並擷取 IdP SSO地址、IdP 唯一标识和验签证书等資訊。
單擊 下一步,進入情境選擇頁面。
配置賬戶綁定情境,根據業務需要選擇以下情境能力,然後單擊 完成创建。
情境
說明
手动绑定账户
通過 SAML 登入時,如果 SAML 賬戶未綁定 IDaaS 賬戶,使用者可以手動綁定。
自动绑定账户
開啟該功能後,使用者通過 SAML 登入時將進行判斷:如果 IDaaS 欄位與 SAML Response 中的 NameID 欄位的值相同,且賬戶無綁定關係,則自動綁定賬戶。
自动创建用户
通過 SAML 登入時,如果 SAML 賬戶未綁定 IDaaS 賬戶,可自動建立 IDaaS 賬戶。每次通過 SAML 登入都將更新賬戶資訊。
自动更新信息
通過 SAML 登入時,將根據欄位對應更新賬戶資訊。
如果開啟了自动更新信息開關,將進入字段映射配置介面,配置參考SAML IdP 欄位對應。
在整合的身份提供方應用中配置單點登入資訊
進入 IDaaS EIAM 控制台,單擊 身份源 > 身份提供方 > 入方向,單擊步驟二中建立的 SAML 身份提供方的 配置信息 按鈕,擷取以下兩項值:SP ACS 地址 和 SP 唯一标识。
開啟整合的身份提供方應用,找到對應的 SAML 配置模組,更新 SP ACS 地址和SP 唯一标识資訊對應的配置。
驗證結果
完成上述配置後,驗證 IDaaS 的使用者登入流程。
訪問 IDaaS EIAM 使用者門戶,其他登入方式中將顯示 SAML 身份提供方的登入選項。
單擊該登入選項,瀏覽器將跳轉至整合的身份提供方應用進行認證。
如果整合的身份提供方應用帳號未登入,則跳轉至整合的身份提供方登入頁面,登入完成後重新導向回 IDaaS。
如果已登入,則直接重新導向回 IDaaS。
認證通過後,系統根據配置的賬戶綁定情境選擇,進行賬戶匹配。如果無法自動匹配到 IDaaS 使用者,根據情境選擇配置,可手動綁定賬戶或自動建立賬戶以完成登入。