您需要配置身份提供商(IdP)信息,然后开启单点登录开关,才能正常使用单点登录功能。支持手动配置和上传元数据文件两种方式配置身份提供商信息。其中手动配置仅能配置单点登录所必须的属性:Entity ID、登录地址和SAML签名证书。如果您需要配置更多IdP信息,请在IdP端生成元数据文件并使用上传元数据的方式进行配置。

配置身份提供商信息

您需要先配置身份提供商信息,然后才能启用单点登录。

  1. 登录云SSO控制台
  2. 在左侧导航栏,单击设置
  3. SSO登录区域,单击配置身份提供商信息
  4. 配置身份提供商信息对话框,选择上传元数据文档手动配置,然后配置身份提供商信息。

    以下两种方式您可以任选其一进行配置,相关元数据文件或配置信息请从身份提供商处获取。

    • 上传元数据文档

      单击上传文件,上传身份提供商元数据文件。

    • 手动配置
      • Entity ID:身份提供商标识。
      • 登录地址:身份提供商登录地址。
      • 证书:身份提供商用于SAML响应签名的证书,支持PEM格式的X509证书。您可以单击上传证书,上传身份提供商的证书。
  5. 单击确定

启用单点登录

当您完成身份提供商信息配置后,就可以启用单点登录。

说明 启用单点登录后,将自动禁用用户名和密码登录。
  1. SSO登录区域,打开单点登录开关。
  2. 启用SSO登录对话框,单击确定

禁用单点登录

说明 禁用单点登录后,将自动启用用户名和密码登录。
  1. SSO登录区域,关闭单点登录开关。
  2. 禁用SSO登录对话框,单击确定

清空身份提供商信息

当单点登录处于禁用状态时,您可以清空身份提供商信息。单点登录处于开启状态时,不能执行该操作。

警告 清空身份提供商信息后,您将无法进行单点登录。
  1. SSO登录区域,单击清空身份提供商信息
  2. 清空身份提供商信息对话框,单击确定

更新身份提供商信息

当单点登录处于开启或禁用状态时,您都可以更新身份提供商信息。但在开启状态下更新时,如果新配置的身份提供商信息与原有的信息不匹配,可能会导致用户单点登录失败,请谨慎操作。

  1. SSO登录区域,单击配置身份提供商信息
  2. 配置身份提供商信息对话框,选择配置方式,然后修改配置信息、重新上传证书或元数据文件等,最后单击确定

轮转SAML签名证书

为方便身份提供商SAML签名证书的定期轮换,您可以上传两个证书。当用户进行单点登录时,云SSO会分别使用两个证书验证SAML签名,只要有一个验证通过,此次登录就是可信的。因此,您可以使用此功能进行SAML签名证书的轮转。对于过期或不再使用的SAML签名证书,您可以将其删除。

警告 删除正在使用的SAML签名证书,会导致单点登录失败,请谨慎操作。
  1. SSO登录区域,单击SAML签名证书右侧的管理
  2. 证书对话框,轮转SAML签名证书。
    1. 单击上传新的证书,上传从企业IdP获取的新证书。
    2. 确认企业IdP开始使用新证书对SAML响应进行签名,之后尝试单点登录到云SSO用户门户,确保可以正常登录。
    3. 单击原证书操作列的删除,删除原证书。
    4. 单击确定,完成SAML签名证书轮转。