SAML 应用账户配置
SAML 在进行单点登录时,会将用户身份信息传递于 SAMLResponse 的 NameID 字段中,或存在与其他字段。
配置应用账户,即是配置使用哪类值,当做账户的身份标识信息。
最常用的设定为 IDaaS【账户名】或 IDaaS【邮箱】。
单点登录配置项
您可以在如下四种规则中进行选择:
选项 | 说明 |
| 指定当前应用单点登录时,使用 IDaaS 账户信息作为应用身份标识。选择此项,需确保进行单点登录的账户,在 IDaaS 和应用中用户名完全一致,否则会导致失败,甚至账户错乱。 这是最常用的配置。避免为每个 IDaaS 账户单独配置应用账户,省时省力。 可选子选项有两个:
|
2.应用账户 | 管理员需要指定当前应用 SSO 时每个 IDaaS 账户使用的应用账户。未指定,则无法单点登录。 例如:IDaaS 中有账户名为 test_user,希望登录应用为 admin,可通过手动配置完成。配置方式参考 手动添加应用账户。 若应用使用人数较少,可使用此配置,获得最大灵活度。 可选子选项有一个:
|
3.优先应用账户 | 结合了前两个选项的优点。允许管理员手动配置应用账户,并优先使用。配置方式参考 手动添加应用账户。当未配置应用账户时,默认使用 IDaaS 身份标识信息,作为兜底方案。 可选子选项有两个:
|
4.表达式 | 若应用账户具备特定规则,可以配置表达式。 例如,应用将每个账户的邮箱前缀作为账户名。 无可选子选项。表达式较为复杂,请咨询 IDaaS 团队提供配置。 可输入表达式规则。 |
手动添加应用账户
若在单点登录表单的应用账户选项中,选择应用账户或优先应用账户,则可以手动配置不同账户在访问该应用时的身份。
点击【应用账户】【添加应用账户】,弹出表单。
在表单上方搜索找到 IDaaS 账户,点选后,在下方为其添加应用账户,举例:admin、root、手机号码、zhangsan 等。保存即完成。
您同时可以为一个 IDaaS 账户设置多个应用账户。在发起单点登录时,用户可选择其中一个进行登录。