服務(wù)管理員可以為其ProtoPie企業(yè)環(huán)境配置SSO。

 

用戶可以通過(guò)選擇Okta, Auth0, or OneLogin等身份驗(yàn)證源來(lái)對(duì)ProtoPie進(jìn)行訪問(wèn)。這些身份驗(yàn)證源也被稱為身份提供者(IdP)。通過(guò)這種方式，管理者能更輕易地管控團(tuán)隊(duì)成員的訪問(wèn)權(quán)限以及訪問(wèn)方式。

 

單點(diǎn)登錄(SSO)作為一種身份驗(yàn)證方案，允許用戶僅用一套登錄憑證即可登錄多個(gè)網(wǎng)站和應(yīng)用程序，免去了管理多個(gè)用戶名和密碼造成的煩擾。很多組織和企業(yè)均已在其內(nèi)部管理策略中融入了單點(diǎn)登錄(SSO)，以確保全方位的安全性與便利性。

 

ProtoPie支持兩種不同的單點(diǎn)登錄(SSO)協(xié)議：

 

• SAML 2.0
• OpenID Connect (OIDC) - 建立在OAuth 2.0之上

 

設(shè)置SAML SSO

在SAML(安全斷言標(biāo)記語(yǔ)言)的標(biāo)準(zhǔn)描述中，ProtoPie作為服務(wù)提供方(SP)，需要與你所選擇的身份提供者(IdP)進(jìn)行通訊以完成身份驗(yàn)證。

 

如需使用這一功能，首先應(yīng)將ProtoPie添加到你所選擇的身份提供者中。對(duì)于不同的IdP，這一操作也不盡相同。但歸根結(jié)底你需要從ProtoPie中取得一個(gè)名為“斷言消費(fèi)者服務(wù)鏈接(spAcsUrl)"的鏈接并將其填入IdP中，再將IdP中顯示的元數(shù)據(jù)鏈接(Metadata URL)填入到ProtoPie中。

 

• 在服務(wù)管理員設(shè)置頁(yè)面中進(jìn)入身份驗(yàn)證(Authentication)
• 勾選啟用SAML
• 復(fù)制斷言消費(fèi)者服務(wù)鏈接(spAcsUrl)

隨使用的IdP不同，將應(yīng)用添加到IdP的方法有不同。以下以O(shè)kta為例概述添加的步驟。

 

 

通過(guò)Okta設(shè)置SAML SSO

請(qǐng)按照 ProtoPie School 提供的簡(jiǎn)單逐步視頻教程來(lái)設(shè)置與 Okta 的單點(diǎn)登錄（SSO）。

 

使用 Okta 設(shè)置 SAML SSO

另外，您也可以按照以下說(shuō)明進(jìn)行操作：

 

• 登錄Okta并進(jìn)入應(yīng)用(Applications)頁(yè)面
• 點(diǎn)擊左上角的“添加應(yīng)用(Add Application)”按鈕

點(diǎn)擊右上角的創(chuàng)建新應(yīng)用(Create New App)按鈕

驗(yàn)證方法欄選擇SAML 2.0，然后點(diǎn)擊創(chuàng)建(Create)按鈕。

 

在通用設(shè)置(General settings)頁(yè)面中的應(yīng)用名稱(App Name)欄內(nèi)輸入ProtoPie作為應(yīng)用的名稱。此外出于使用方便起見(jiàn)，我們建議在這一步中同時(shí)上傳ProtoPie logo作為應(yīng)用logo。然后點(diǎn)擊下一步。

 

以下是SAML設(shè)置過(guò)程中所要進(jìn)行的步驟

復(fù)制“斷言消費(fèi)者服務(wù)鏈接(spAcsUrl)”并將其粘貼到Single sign on URL欄以及Audience URI (SP Entity ID)欄。

在Name ID format中選擇Email Address

在下方的Name中輸入firstName，其后部的Value欄輸入user.firstName，然后點(diǎn)擊Add Another按鈕。

在新的一行中，Name中輸入lastName，其后部的Value欄輸入user.lastName。

點(diǎn)擊下一步

 

選擇 I'm a software vendor. I'd like to integrate my app with Okta 并點(diǎn)擊完成(Finish)按鈕。

 

然后需要在Okta中為ProtoPie應(yīng)用分配用戶。進(jìn)入ProtoPie應(yīng)用并點(diǎn)擊分配(Assignments)選項(xiàng)卡，在點(diǎn)擊分配(Assign)按鈕即可進(jìn)行用戶分配。

點(diǎn)擊登錄(Sign On)選項(xiàng)卡，然后點(diǎn)擊下方的View Setup Instructions按鈕。

 

此時(shí)出現(xiàn)的信息中，Identity Provider Single Sign-On URL即為前述所說(shuō)的IdP元數(shù)據(jù)URL(Metadata URL)，復(fù)制這條URL。

 

回到進(jìn)入服務(wù)管理員設(shè)置中的身份驗(yàn)證(Authentication)界面。

啟用SAML

將復(fù)制的Identity Provider Single Sign-On URL添加到IdP Metadata URL欄中。

添加更新(Update)

 

通過(guò)其他IdP設(shè)置SAML SSO

與Okta的方式同理，要通過(guò)其他身份提供者(IdP)進(jìn)行SAML SSO的設(shè)置，就必須在ProtoPie中獲取到斷言消費(fèi)者服務(wù)URL(spAcsUrl)，并在所選IdP中獲取到IdP元數(shù)據(jù)URL(Metadata URL)。這一過(guò)程可以參考所選的IdP提供的文檔中關(guān)于添加新應(yīng)用的部分。

 

SAML SSO with Azure AD

1. 登錄Azure后，進(jìn)入Azure Active Directory。

2. 選擇左側(cè)的Enterprise applications。

 

3. 選擇All applications → New application。

 

 

4. 在Azure AD Gallery中搜索Azure AD SAML Toolkit，選中并新建。

在Name中輸入ProtoPie。另外，還可上傳ProtoPie logo。

 

 

5. 創(chuàng)建Application后即可查看如下所示所創(chuàng)建的Application的Overview。之后可在Getting Started菜單中完成設(shè)置。

 

 

6. 選擇Assign users and groups菜單，設(shè)置用戶或用戶群組。

 

7. 選擇Set up single sign on菜單，開(kāi)始設(shè)置SSO。在此選擇SAML method。

 

8. 選擇Basic SAML Configuration Edit，輸入值。設(shè)置值如下所示。

 

Identifier (Entity ID): https://PROTOPIE_DOMAIN/sp

Reply URL (Assertion Consumer Service URL): https://PROTOPIE_DOMAIN/api/auth/callback/sso/saml

該值應(yīng)與ProtoPie Admin Dashboard → Authentication → SAML → Assertion Consumer URL值相同。

Sign on URL: https://PROTOPIE_DOMAIN/api/auth/login/sso/saml

 

 

9. 復(fù)制SAML Signing Certificate的App Federation Metadata URL值。

 

 

10. 在ProtoPie Admin Dashboard的Authentication → SAML菜單中，激活SAML，輸入下列值。

 

Authn Context: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

IdP URL (IdP Metadata URL)：輸入之前所復(fù)制的App Federation Metadata URL值。

 

設(shè)置OIDC SSO

OpenID Connect(OIDC)是一種建立在OAuth 2.0框架之上的身份驗(yàn)證協(xié)議。

 

請(qǐng)按照 ProtoPie School 提供的這個(gè)簡(jiǎn)單的逐步視頻教程設(shè)置 OIDC SSO。

 

設(shè)置 OIDC SSO

另外，您也可以按照以下說(shuō)明進(jìn)行操作。

 

如果使用這一功能，首先應(yīng)將ProtoPie添加到你的IdP中。對(duì)于不同的IdP，這一操作也不同。但歸根結(jié)底你需要從ProtoPie中獲得回調(diào)地址鏈接(loginUrl)并填入到IdP中，同時(shí)從IdP中獲得身份驗(yàn)證URL(authorization URL)、token URL、客戶端密鑰并填入ProtoPie中。

 

1. 在服務(wù)管理員設(shè)置頁(yè)面中進(jìn)入身份驗(yàn)證(Authentication)
2. 勾選啟用OIDC
3. 回調(diào)地址鏈接(loginUrl)

 

隨使用的IdP不同，將應(yīng)用添加到IdP的方法有不同。以下以O(shè)kta為例概述添加的步驟。

 

 

 

通過(guò)Okta設(shè)置OIDC SSO

• 登錄Okta并進(jìn)入應(yīng)用(Applications)頁(yè)面
• 點(diǎn)擊左上角的“添加應(yīng)用(Add Application)”按鈕

 

 

點(diǎn)擊右上角的創(chuàng)建新應(yīng)用(Create New App)按鈕

 

 

驗(yàn)證方法欄選擇OpenID Connect，然后點(diǎn)擊創(chuàng)建(Create)按鈕。

 

在通用設(shè)置(General settings)頁(yè)面中的應(yīng)用名稱(App Name)欄內(nèi)輸入ProtoPie作為應(yīng)用的名稱。此外出于使用方便起見(jiàn)，我們建議在這一步中同時(shí)上傳ProtoPie logo作為應(yīng)用logo，并且將先前復(fù)制的回調(diào)URL(loginUrl)地址粘貼到Login redirect URIs欄中，然后點(diǎn)擊保存(Save)。

 

然后需要在Okta中為ProtoPie應(yīng)用分配用戶。進(jìn)入ProtoPie應(yīng)用并點(diǎn)擊分配(Assignments)選項(xiàng)卡，在點(diǎn)擊分配(Assign)按鈕即可進(jìn)行用戶分配。

 

點(diǎn)擊通用(General)選項(xiàng)卡，在后續(xù)步驟中會(huì)同時(shí)需要在此顯示的鑒權(quán)憑證：客戶端ID和客戶端密鑰，因而在此務(wù)必將兩者同時(shí)復(fù)制出來(lái)。點(diǎn)擊通用(General)選項(xiàng)卡，在后續(xù)步驟中會(huì)同時(shí)需要在此顯示的鑒權(quán)憑證：客戶端ID和客戶端密鑰，因而在此務(wù)必將兩者同時(shí)復(fù)制出來(lái)。

 

 

點(diǎn)擊登錄(Sign On)選項(xiàng)卡，你需要身份驗(yàn)證URL(authorization URL)、token URL。Okta的情況，身份驗(yàn)證URL(authorization URL)的結(jié)構(gòu)為${baseUrl}/oauth2/v1/authorize， token URL的結(jié)構(gòu)為${baseUrl}/oauth2/v1/token 。使用OpenID Connect ID Token的Issuer值作為基本URL。

回到進(jìn)入服務(wù)管理員設(shè)置中的身份驗(yàn)證(Authentication)界面

啟用OIDC

填寫身份驗(yàn)證URL、token URL、客戶端ID和客戶端密鑰

添加更新(Update)

 

通過(guò)其他IdP設(shè)置OIDC SSO

通過(guò)其他IdP設(shè)置OIDC SSO與Okta的方式同理，要通過(guò)IdP進(jìn)行OIDC SSO的設(shè)置，就不需在ProtoPie中獲取到回調(diào)URL(loginUrl)，并在IdP中獲取到IdP元數(shù)據(jù)URL(Metadata URL)。這一過(guò)程可以參考所選的IdP提供的文檔中關(guān)于添加新應(yīng)用的部分。

 

管理成員

啟用SSO后，仍然可以在ProtoPie企業(yè)中管理您的成員。即使在IdP中添加或刪除用戶，這些更改也不會(huì)自動(dòng)反映到ProtoPie企業(yè)版中。

 

如果在IdP中更改用戶的電子郵件地址，請(qǐng)?jiān)赑rotoPie企業(yè)版中也進(jìn)行同樣的變更操作。

 

 

FAQs

我可以使用單點(diǎn)登錄（SSO）來(lái)代替郵箱&密碼登錄嗎？

根據(jù)需要，您可以選擇兩種驗(yàn)證方法中的一種。但至少需要啟用一種驗(yàn)證方法，不能禁用所有的驗(yàn)證方法。

 

為了只啟用SSO驗(yàn)證方法，要更改配置的服務(wù)管理員需啟用SSO登錄。當(dāng)郵箱&密碼驗(yàn)證方法為初始系統(tǒng)配置時(shí)，請(qǐng)參考以下步驟。

 

• 邀請(qǐng)一個(gè)將被設(shè)置為服務(wù)管理員的新用戶
• 用戶通過(guò)SSO驗(yàn)證方法注冊(cè)
• 將被邀請(qǐng)的用戶指定為服務(wù)管理員
• 該用戶登錄后禁用郵箱&密碼驗(yàn)證方法
• 將現(xiàn)有的服務(wù)管理員角色改為成員（可選）

 

我是否需要使用IdP來(lái)管理成員，而不是ProtoPie企業(yè)管理平臺(tái)？

不需要。即使在IdP中添加或刪除用戶，這也不會(huì)自動(dòng)同步到ProtoPie企業(yè)管理平臺(tái)。

 

如果我在IdP中更改了郵箱，我還可以登錄ProtoPie嗎？

只有當(dāng)IdP郵箱和ProtoPie企業(yè)成員郵箱地址一致時(shí)，該用戶才被識(shí)別為同一用戶。因此，如果更改了IdP中的郵箱地址，則需更改ProtoPie企業(yè)成員的郵箱地址。

 

當(dāng)服務(wù)管理員更改所有成員的郵箱地址時(shí)，請(qǐng)參考以下步驟。

 

• 更改IdP中除服務(wù)管理員帳戶之外的所有郵箱地址
• 由服務(wù)管理員更改ProtoPie企業(yè)版管理后臺(tái)上的所有郵箱地址
• 服務(wù)管理員可以通過(guò)在賬號(hào)設(shè)置中更改自己的賬號(hào)
• 確認(rèn)新郵箱中的郵件來(lái)完成郵箱地址更改。

注意如果服務(wù)管理員的驗(yàn)證方法設(shè)置為SSO登錄，請(qǐng)按照此過(guò)程更改IdP的郵箱地址。

 

 

 

我使用了SSO注冊(cè)，我還可以使用郵箱&密碼登錄嗎？

如果未啟用郵箱&密碼驗(yàn)證方法，則無(wú)法使用該方法登錄。在服務(wù)管理設(shè)置中啟用郵箱&密碼驗(yàn)證方法后，可以登錄。

 

完成此過(guò)程后，在賬號(hào)設(shè)置中設(shè)置密碼。

 

 

我注冊(cè)了ProtoPie，但我的姓名與IdP中的不同。

• 如果您使用SAML或OIDC注冊(cè)，那么姓名將自動(dòng)加載到IdP。

 

• 如果SAML的值顯示不正確，請(qǐng)檢查IdP中的SAML設(shè)置。
• 如何OIDC的值顯示不正確，請(qǐng)檢查IdP。

 

ProtoPie企業(yè)版是否支持單點(diǎn)退出（SLO）？

目前，ProtoPie企業(yè)版不支持單點(diǎn)退出（SLO）。

 

 

什么是Entity ID值？

Entity ID是SAML entity的唯一名稱，即用戶的身份提供商（IdP）或服務(wù)提供商（SP）。Entity ID是名稱，它不必是可解析的網(wǎng)絡(luò)位置。SAML entity ID 必須是URI。

 

在ProtoPie Enterprise中遵循如下格式。(ACS URL)

 

Enterprise Cloud: https://sample.protopie.cloud/api/auth/callback/sso/saml

Enterprise On-Premise: {PROTOPIE_HOST}/api/auth/callback/sso/saml

 

 

在哪里可以獲取證書(shū)數(shù)據(jù)？

ProtoPie（SP）目前不提供證書(shū)數(shù)據(jù)（X.509證書(shū)）。

 

我們的服務(wù)讀取IdP提供的元數(shù)據(jù)，如果元數(shù)據(jù)中存在X.509證書(shū)，則使用該證書(shū)。如果不存在，則從作為ACS URL接收的SAML響應(yīng)中獲取簽名的X.509證書(shū)。

 

 

在哪里可以獲取 ACS URL？

ProtoPie（SP）提供的ACS URL可以在管理主控板上確認(rèn)“Assertion Consumer URL”。

 

 

什么是AuthnContext（與 AuthnContextClassRef相同）？

在SAML請(qǐng)求中，它是SP要求IdP用特定的認(rèn)證機(jī)制來(lái)認(rèn)證用戶的一種方法。這是可選的，取決于IdP的設(shè)置選項(xiàng)，需要與IdP管理員確認(rèn)。

 

主要使用以下值（X509、unspecified 等等）。

 

• urn:oasis:names:tc:SAML:2.0:ac:classes:X509
• urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified