管理单点登录

配置身份提供商（IdP）信息

您需要先配置身份提供商信息，然后才能启用单点登录。

1. 登录云SSO控制台。

2. 在左侧导航栏，单击设置。

3. 在SSO登录的身份提供商（IdP）信息区域，单击配置身份提供商信息。

4. 在配置身份提供商信息对话框，选择上传元数据文档或手动配置，然后配置身份提供商信息。

   以下两种方式您可以任选其一进行配置，相关元数据文件或配置信息请从身份提供商处获取。

   • 上传元数据文档

     单击上传文件，上传身份提供商元数据文件。

   • 手动配置

     • Entity ID：身份提供商标识。

     • 登录地址：身份提供商登录地址。

     • 证书：身份提供商用于SAML响应签名的证书，支持PEM格式的X509证书。您可以单击上传证书，上传身份提供商的证书。

5. 单击确定。

更新身份提供商（IdP）信息

当单点登录处于开启或禁用状态时，您都可以更新身份提供商信息。但在开启状态下更新时，如果新配置的身份提供商信息与原有的信息不匹配，可能会导致用户单点登录失败，请谨慎操作。

1. 在SSO登录的身份提供商（IdP）信息区域，单击配置身份提供商信息。

2. 在配置身份提供商信息对话框，选择配置方式，然后修改配置信息、重新上传证书或元数据文件等，最后单击确定。

清空身份提供商（IdP）信息

当单点登录处于禁用状态时，您可以清空身份提供商信息。单点登录处于开启状态时，不能执行该操作。

1. 在SSO登录的身份提供商（IdP）信息区域，单击清空身份提供商信息。

2. 在清空身份提供商信息对话框，单击确定。

轮转SAML签名证书

身份提供商（IdP）SAML签名证书建议定期轮换，您可以在IdP旧证书过期之前，提前上传新证书。当用户进行单点登录时，云SSO会分别使用新旧两个证书验证SAML签名，只要有一个验证通过，此次登录就是可信的。证书轮转一段时间，观察并确认新证书生效，旧证书不再使用之后，您可以删除旧证书。

1. 在SSO登录的身份提供商（IdP）信息区域，单击SAML签名证书右侧的管理。

2. 在证书对话框，轮转SAML签名证书。

   1. 单击上传新的证书，上传从企业IdP获取的新证书。

   2. 确认企业IdP开始使用新证书对SAML响应进行签名，之后尝试单点登录到云SSO用户门户，确保可以正常登录。

   3. 证书轮转一段时间，观察并确认新证书生效，旧证书不再使用之后，您可以单击旧证书操作列的删除，删除旧证书。

   4. 单击确定，完成SAML签名证书轮转。

获取服务提供商（SP）元数据

您在外部IdP中配置单点登录时需要使用SP元数据文档，您可以在SSO登录的服务提供商（SP）信息区域，单击下载SP元数据文档，下载SP元数据文档。同时，您也可以查看或复制ACS URL、Entity ID，直接用于外部IdP的手动配置。

管理服务提供商（SP）可信CA签发证书

云SSO提供云SSO自签名证书和可信CA签发证书两种。默认使用云SSO自签名证书，如果企业对SP签名证书有可信CA签发要求的，可以申请可信CA签发证书。

可信CA签发证书支持的算法

SP元数据中包含有两个证书，分别是签名证书和断言加密证书。其支持的算法如下：

• 签名证书：SHA1、SHA256。

• 断言加密证书：TRIPLEDES、AES-128、AES-256、AES128-GCM。

可信CA签发证书有效期

可信CA签发证书有效期为1年，即每年需要轮转一次。具体的到期时间，请以控制台界面显示为准。

启用可信CA签发证书

在SSO登录的服务提供商（SP）信息区域，打开元数据使用可信CA签发证书开关，即可启用可信CA签发证书。

启用可信CA签发证书后，会自动禁用云SSO自签名证书。

轮转可信CA签发证书

在证书过期前的80天进入轮转期，云SSO控制台将提示您更换证书，直至证书失效。在轮转期内，新旧证书都有效，建议您在轮转期内尽早更新证书。

1. 在SSO登录的服务提供商（SP）信息区域，下载使用最新可信CA签发证书的SP元数据文档。

2. 在企业IdP中，同时配置新旧两个证书。

3. 在企业IdP中，尝试只使用新证书，验证企业IdP与云SSO的单点登录是否正常。

   如果正常，您就可以尝试删除旧证书。当然，您也可以保留旧证书，不影响单点登录。

启用单点登录

当您完成身份提供商信息配置后，就可以启用单点登录。

1. 在SSO登录区域，打开单点登录开关。

2. 在启用SSO登录对话框，单击确定。

禁用单点登录

1. 在SSO登录区域，关闭单点登录开关。

2. 在禁用SSO登录对话框，单击确定。