1.什么是单点登录
单点登录Single Sign On,简称为 SSO。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,是目前比较流行的企业业务整合的解决方案之一。
目前法大大支持SAML 2.0 的单点登录方式
2.什么是SAML
SAML(安全断言标记语言)是一种 XML 开放标准,SAML2.0和自定义接口都基于这种协议。SAML用于在服务提供者(SP,Service Provider,这里指法大大)和身份提供者(IdP,Identity Provider,这里指企业内部或第三方的身份验证系统) 之间交换身份验证信息。
用户通过IDP发起登录时,将使用IDP进行身份验证,验证通过后跳转至法大大。如果IDP身份未得到验证,你的用户将被导航至IDP的登录界面先进行登录验证,通过后跳转至法大大。
3.配置单点登录
如果用户使用的系统中集成了 SAML 功能,用户可以自行查阅相关资料进行配置。下面以阿里云 IDaaS 的配置过程举例:
3.1在阿里云IDaaS中创建SAML应用
3.1.1登录阿里云管理后台
登录到 阿里云管理后台(无阿里云账号的需要先注册),搜索并进入应用身份管理(IDaaS)中,选择 EIAM云身份服务。
在 EIAM云身份服务中,点击「免费创建实例」,输入实例名称并勾选协议后点击「创建」。
3.1.2添加SAML应用
1)在创建的示例中,点击「实例名称」或者「访问控制台」进入云身份服务管理后台。
示例:点击「实例名称」进入云身份服务管理后台。
在云身份服务中,选择应用,在应用页面点击「添加应用」。
3)在「添加应用>>标准协议>> SAML 2.0」处,点击「添加应用」,输入应用名称后,点击「立即添加」。
3.1.3查看应用配置信息
应用添加成功后,显示如下页面,在「SAML应用>>登录访问>>单点登录>>应用配置信息」处,查看以下信息:
IdP 唯一标识(IdP Entity ID)
IdP SSO地址(IdP Sign-in URL)
公钥证书
3.2在法大大中配置单点登录
3.2.1 新增单点登录配置
进入单点登录页面
点击新增配置
3.2.2 配置单点登录
单点登录配置项如下所示,部分配置信息需复制阿里云 SAML应用中的应用配置信息。
IdP SSO 地址:复制阿里云SAML应用>>应用配置信息>> IdP SSO 地址(IdP Sign-in URL)处的内容
IdP公钥:复制阿里云SAML应用>>应用配置信息>>公钥证书(Certificate)处的内容
SAML 加密算法:任意选择
idP Entity ID:复制阿里云SAML应用>>应用配置信息>>IdP 唯一标识(IdP Entity Id)处的内容
配置完成后点击「保存」。
3.2.3 生成单点登录信息
完成单点登录配置后,会生成如下对应信息:
3.3在阿里云中修改SAML应用
3.3.1 配置阿里云中单点登录
返回到阿里云 SAML应用配置页面,按照如下所示进行配置,部分配置内容需要复制法大大中单点登录信息。
单点登录地址(ACS URL):复制法大大生成的SP 回调地址
应用唯一标识(SP Entity ID):复制法大大生成的SP Entity ID
应用账户(Name ID):选择应用账户/应用账户
授权范围:选择全员可访问
配置完成后点击「保存」。
3.3.2 创建账户
在「云身份服务>>账户」页面,点击创建账户,输入账户名、密码等信息,点击「确定」。
3.3.3 添加应用账户
1)进入阿里云的「云身份服务>>应用>>单点登录>>应用账户」中,点击「添加应用账户」。并保证应用账户ID和法大大成员唯一标识一致。
3.4 关闭二次认证(可选)
此步骤为可选步骤:
若希望成员在使用账户名、密码登录时,还需要进行手机号、邮箱的二次认证,则无需进行此步骤;
若不需要成员进行手机号、邮箱的验证,则需要进行此步骤,关闭二次认证。
在「云身份服务>>登录>>二次认证」中,关闭「二次认证配置」按钮,点击「确认禁用」并输入验证码后,点击「保存」即可禁用。
3.5 启用阿里云和法大大两边的配置
阿里云侧启用
法大大侧启用
4.成员使用单点登录进入法大大系统
方式一:将法大大生成的企业专属【法大大登录地址】复制至贵司内部系统内,员工点击链接自动进行登录并进入法大大系统工作台
方式二:在法大大官网登录页面,选择SSO登录,输入贵司法大大企业号,会自动进行登录并进入法大大系统工作台。
