您需要配置身份提供商(IdP)信息,然后开启单点登录开关,才能正常使用单点登录功能。支持手动配置和上传元数据文件两种方式配置身份提供商信息。其中手动配置仅能配置单点登录所必须的属性:Entity ID、登录地址和SAML签名证书。如果您需要配置更多IdP信息,请在IdP端生成元数据文件并使用上传元数据的方式进行配置。
配置身份提供商(IdP)信息
您需要先配置身份提供商信息,然后才能启用单点登录。
登录云SSO控制台。
在左侧导航栏,单击设置。
在SSO登录的身份提供商(IdP)信息区域,单击配置身份提供商信息。
在配置身份提供商信息对话框,选择上传元数据文档或手动配置,然后配置身份提供商信息。
以下两种方式您可以任选其一进行配置,相关元数据文件或配置信息请从身份提供商处获取。
上传元数据文档
单击上传文件,上传身份提供商元数据文件。
手动配置
Entity ID:身份提供商标识。
登录地址:身份提供商登录地址。
证书:身份提供商用于SAML响应签名的证书,支持PEM格式的X509证书。您可以单击上传证书,上传身份提供商的证书。
单击确定。
启用单点登录
当您完成身份提供商信息配置后,就可以启用单点登录。
启用单点登录后,将自动禁用用户名和密码登录。
在SSO登录区域,打开单点登录开关。
在启用SSO登录对话框,单击确定。
禁用单点登录
禁用单点登录后,将自动启用用户名和密码登录。
在SSO登录区域,关闭单点登录开关。
在禁用SSO登录对话框,单击确定。
获取服务提供商(SP)元数据
在SSO登录的服务提供商(SP)信息区域,单击下载SP元数据文档,您在外部IdP中配置单点登录时需要使用该SP元数据文档。同时,您可以查看或复制ACS URL、Entity ID,用于外部IdP的手动配置。
如您启用了加速域名功能,在外部IdP中配置单点登录时可以使用ACS URL(加速)。更多信息,请参见云SSO海外访问加速。
清空身份提供商(IdP)信息
当单点登录处于禁用状态时,您可以清空身份提供商信息。单点登录处于开启状态时,不能执行该操作。
清空身份提供商信息后,您将无法进行单点登录。
在SSO登录的身份提供商(IdP)信息区域,单击清空身份提供商信息。
在清空身份提供商信息对话框,单击确定。
更新身份提供商(IdP)信息
当单点登录处于开启或禁用状态时,您都可以更新身份提供商信息。但在开启状态下更新时,如果新配置的身份提供商信息与原有的信息不匹配,可能会导致用户单点登录失败,请谨慎操作。
在SSO登录的身份提供商(IdP)信息区域,单击配置身份提供商信息。
在配置身份提供商信息对话框,选择配置方式,然后修改配置信息、重新上传证书或元数据文件等,最后单击确定。
轮转SAML签名证书
为方便身份提供商(IdP)SAML签名证书的定期轮换,您可以上传两个证书。当用户进行单点登录时,云SSO会分别使用两个证书验证SAML签名,只要有一个验证通过,此次登录就是可信的。因此,您可以使用此功能进行SAML签名证书的轮转。对于过期或不再使用的SAML签名证书,您可以将其删除。
删除正在使用的SAML签名证书,会导致单点登录失败,请谨慎操作。
在SSO登录的身份提供商(IdP)信息区域,单击SAML签名证书右侧的管理。
在证书对话框,轮转SAML签名证书。
单击上传新的证书,上传从企业IdP获取的新证书。
确认企业IdP开始使用新证书对SAML响应进行签名,之后尝试单点登录到云SSO用户门户,确保可以正常登录。
单击原证书操作列的删除,删除原证书。
单击确定,完成SAML签名证书轮转。