单点登录配置

ADSelfService Plus 单点登录 (SSO) 消除了多个用户 ID 和密码的需求，简化了用户的登录体验，并提高了安全性。它使用 Active Directory 凭据来验证用户身份，并利用基于 OU 和组的策略来控制对各种云应用的访问。

ADSelfService Plus 使用安全且广泛采用的行业标准——安全断言标记语言 2.0 (SAML 2.0) 提供单点登录。它还支持在登录时进行多因素身份验证以确保安全性。

在本页，我们涵盖了：

• IdP 发起与 SP 发起的 SSO 流程
• 支持的应用程序
• 配置 SAML 断言属性
• SAML 证书续期

身份提供商发起与服务提供商发起流：

用户可以通过两种方式使用 SSO 登录到应用或服务。

在此，身份提供商 (IdP) 是指 ADSelfService Plus，服务提供商 (SP) 是指云应用或服务。要启动 SSO，用户可以从 IdP 或 SP 开始。

在 IdP 发起的 SSO 中，用户登录到 ADSelfService Plus 页面，并点击一个应用，应用将在新选项卡中打开，用户将自动登录。

在 SP 发起的 SSO 中，当用户点击应用链接时，将被引导至 SP 的登录页。在输入用户名或选择 SAML 单点登录选项后，SP 将把用户重定向到 IdP。用户需要登录到 IdP 才能访问 SP。

对于某些应用，ADSelfService Plus 仅支持其中一个流程。

支持的应用程序

ADSelfService Plus 允许您为任何启用 SAML 的应用提供基于 Active Directory 的单点登录。

• 自定义应用程序
• 预集成的应用程序

SAML 断言属性

通过此设置，您可以选择要包含在由 ADSelfService Plus 发送给服务提供商的 SAML 响应令牌中的属性，以证明用户的身份。这对于需要特定属性来完成配置并启用登录的服务提供商的即时启用也很有用。

1. 前往 配置 → 自助服务 → 密码同步/单点登录 → 添加应用程序。
2. 选择所需的应用程序，并进入配置页面。
3. 导航至 高级 → SAML 断言属性。

   

4. 点击 图标以添加新的 SAML 断言属性，并输入以下内容：
   • 属性: 服务提供商端的属性名称，即 ApplicationID。
   • 值: Active Directory 属性和通过 ADSelfService Plus 添加的自定义属性列在此下拉菜单中。您应该选择与先前选择的服务提供商属性相同的值选项，即名称。
5. 点击 保存。

SAML 证书更新

SAML 证书对于在身份提供者（IdP）和服务提供商（SP）之间建立信任关系至关重要。它确保消息在预期的 SP 和 IdP 之间传递。此证书有一个到期日期，为确保用户在通过单点登录访问应用程序时不遇到问题，务必在到期前更新证书。

1. 登录 ADSelfService Plus。
2. 前往 配置 → 自助服务 → 密码同步/单点登录。
3. 从显示的应用程序列表中，点击您想更新 SAML 证书的应用程序旁边证书到期列下的 更新 按钮。



4. 点击更新后，会出现一个弹出窗口。从弹出窗口中点击 下载 X.509-证书 以下载最新的 SAML 证书。



5. 接着，从同一个弹出窗口中点击 下载 IdP 元数据 以下载最新的元数据文件。
注意：
• 某些应用程序的 SSO 配置需要同时使用证书和元数据，而其他可能只需要其中之一。在更新该应用程序的 SAML 证书之前，请阅读目标应用程序的 SSO 配置步骤。
• 生成的 SAML 证书将在更新后的两年内有效。
6. 在目标应用程序的 SAML 设置中更新最新的证书和元数据。