文档

SAML应用账户配置

更新时间:

SAML在进行单点登录时,会将用户身份信息传递于SAMLResponse的NameID字段中,或存在与其他字段。

配置应用账户,即是配置使用哪类值,当做账户的身份标识信息。​

最常用的设定为IDaaS账户名或IDaaS邮箱。

单点登录配置项

image.png

您可以在如下四种规则中进行选择:

选项

说明

IDaaS账户

指定当前应用单点登录时,使用IDaaS账户信息作为应用身份标识。选择此项,需确保进行单点登录的账户,在IDaaS和应用中用户名完全一致,否则会导致失败,甚至账户错乱。​

这是最常用的配置。避免为每个IDaaS账户单独配置应用账户,省时省力。​

可选子选项有两个:

  • IDaaS账户名(Username)

  • IDaaS邮箱(Email)

应用账户

管理员需要指定当前应用SSO时每个IDaaS账户使用的应用账户。未指定,则无法单点登录。

例如:IDaaS中有账户名为test_user,希望登录应用为admin,可通过手动配置完成。配置方式参考手动添加应用账户。​

若应用使用人数较少,可使用此配置,获得最大灵活度。​

可选子选项有一个:应用账户。

优先应用账户

结合了前两个选项的优点。允许管理员手动配置应用账户,并优先使用。配置方式参考手动添加应用账户。当未配置应用账户时,默认使用IDaaS身份标识信息,作为兜底方案。​

可选子选项有两个:

  • 次选IDaaS账户名(Username)

  • 次选IDaaS邮箱(Email)

表达式

若应用账户具备特定规则,可以配置表达式。

例如,应用将每个账户的邮箱前缀作为账户名。​

无可选子选项。表达式较为复杂,请咨询IDaaS团队提供配置。

可输入表达式规则。​

手动添加应用账户

若在单点登录表单的应用账户选项中,选择或优先选择应用账户。,则可以手动配置不同账户在访问该应用时的身份。​

单击应用账户 > 添加应用账户,弹出表单。

image

在表单上方搜索找到IDaaS账户,选择后,在下方为其添加应用账户,举例:admin、root、手机号码、zhangsan等。保存即完成。​

说明

您同时可以为一个IDaaS账户设置多个应用账户。在发起单点登录时,用户可选择其中一个进行登录。