配置单点登录

要访问此页面，请单击“管理”>“单点登录”。您可以从“单点登录配置”页面配置、激活或停用单点登录（SSO）。

SSO 配置期间涉及的实体包括：

身份提供程序（IdP） — 处理用户身份管理的外部服务器。例如 Okta 和 Microsoft Azure。
服务提供商 — 瞻博网络 ATP 云充当服务提供商，接收 IdP 响应登录请求而发送的 SAML 断言。

IdP 和服务提供商都相互信任并共享配置。

开始之前：

请参阅使用 SAML 2.0 身份提供程序设置单点登录。
确保已为 IdP 配置了 SSO SAML 设置。

注意：

您必须为每个组织配置 SSO 设置。

要配置 SSO 设置：

选择管理>单点登录。
请遵循表 1 中的准则完成配置。
点击保存。

配置服务提供商设置和 IdP 设置后，您可以激活 SSO。要激活 SSO，请单击激活。

要停用现有 SSO ，请单击停用。

表 1：SSO 设置
字段	描述
服务提供商设置
显示名称	输入 SSO 设置的显示名称。
实体 ID	输入瞻博网络 ATP 云客户门户的唯一标识符。
用户名属性	输入 SAML 的用户名属性。用户名属性是必需的，并且必须采用电子邮件地址格式。username 属性映射到用户数据，该数据由 IdP 在 SAML 断言响应中提供。
对认证请求进行签名	启用切换按钮，对从瞻博网络 ATP 云发送到 IdP 的 SAML 身份验证请求进行签名。如果启用签名身份验证请求，则必须同时提供私钥和公钥证书。
加密 SAML 响应	启用切换按钮以指定对 IdP 返回的 SAML 断言进行加密。如果启用了加密 SAML 响应，则必须同时提供私钥和公钥证书。注意：如果您在瞻博网络 ATP 云客户门户中启用了 SAML 响应加密，但来自 IdP 的 SAML 响应未加密，则 SAML 身份验证将被拒绝。
私钥	输入私钥。私钥由用户在本地生成。在瞻博网络 ATP 云中，私钥用于对 SAML 身份验证请求进行签名。私钥不会与 IdP 共享。
公钥证书	输入公钥证书。公钥证书由用户在本地生成。您必须在 IdP 门户中上传相同的公钥证书。在 IdP 中，公钥证书用于验证瞻博网络 ATP 云发送的 SAML 身份验证请求。
角色选项	选择使用默认角色或输入 IdP 特定角色。
使用默认角色
默认角色	为组织中的 SAML 用户选择默认角色。如果您尚未在“角色映射”部分下输入角色，则必须为组织指定默认角色。从列表中选择默认角色。系统管理员 - 完全权限操作员 - 完全权限，但无法创建用户观察者 - 只读权限无 - 无默认角色注意：您必须配置角色属性或默认角色才能登录 SSO 页面。
名字	输入 SAML 用户的名字属性。first name 属性用于创建用户配置文件。如果未提供名字，则电子邮件地址的一部分将用作创建用户配置文件的名字。
姓氏	输入 SAML 用户的姓氏属性。last name 属性用于创建用户配置文件。如果您未提供姓氏，则电子邮件地址的一部分将用作创建用户配置文件的姓氏。
输入 IdP 特定角色
组属性	（选答）输入在 IdP 中配置的组属性。示例：角色
管理员	（选答）输入必须映射到瞻博网络 ATP 云管理员角色的特定 IdP 角色。示例：role_admin
作人员	（选答）输入必须映射到瞻博网络 ATP 云运营商角色的特定 IdP 角色。示例：role_operator
观察者	（选答）输入必须映射到瞻博网络 ATP 云观察者角色的特定于 IdP 角色。示例：role_observer
名字	输入 SAML 用户的名字属性。first name 属性用于创建用户配置文件。如果未提供名字，则电子邮件地址的一部分将用作创建用户配置文件的名字。
姓氏	输入 SAML 用户的姓氏属性。last name 属性用于创建用户配置文件。如果您未提供姓氏，则电子邮件地址的一部分将用作创建用户配置文件的姓氏。
导出 SP 元数据	单击导出 SP 元数据以 XML 格式下载服务提供商元数据。管理员可以下载并使用服务提供商元数据，一次在 IdP 门户中动态配置所有服务提供商设置。管理员无需手动配置单个服务提供商设置。
身份提供程序设置
IdP 设置	选择导入设置以一次性导入 IdP 元数据。要手动配置 IdP 设置，请选择手动输入设置。
导入	选择 XML 格式的 IdP 元数据，然后单击导入。
实体 ID	输入 IdP 的唯一标识符。如果您导入 IdP 元数据，则信息将自动更新。
登录 URL	在 IdP 中输入用户身份验证的重定向 URL。如果您导入 IdP 元数据，则信息将自动更新。
IdP 证书	输入 IdP 证书以解密 SAML 响应。如果您导入 IdP 元数据，则信息将自动更新。

配置单点登录

相关文档