Address Manager 支持通过 SAML 2.0 进行单一登录 (SSO),并可充当 SSO 的服务提供程序 (SP)。在 SSO 集成中,用户具有以下登录 Address Manager 的选项:
- 直接登录 Address Manager(SP 启动的 SSO)
- 通过 IdP 登录(IdP 启动的 SSO)
- ADFS (Active Directory Federated Services)
- OneLogin
如果您的组织正在使用 Address Manager 不支持的 IdP,只要该 IdP 符合 SAML 2.0 规范,则仍可使用它。有关更多信息,请参阅有关如何配置服务提供程序的 IdP 文档。
只有通过 SAML 2.0 才支持使用 Okta 身份提供商的 SSO。目前不支持 Okta OAuth 2.0(使用 OpenID Connect)。
SP 启动的 SSO
在 SP 启动的 SSO 中,可以使用公司的 SSO 凭据直接登录 Address Manager。通过 Address Manager 登录时,Address Manager 将向 IdP 发送认证请求。IdP 将验证您的凭据,一旦验证成功,IdP 将生成 SAML 令牌。IdP 会将 SAML 令牌重定向至 Address Manager 并允许访问。
下图解释了 SP 启动的 SSO 的认证过程:
IdP 启动的 SSO
在 IdP 启动的 SSO 中,可以使用公司的 SSO 凭据通过 IdP 登录页面登录。通过 IdP 登录页面登录时,IdP 将验证您的凭据,一旦验证成功,IdP 将生成 SAML 令牌。IdP 现在会将您重定向至 Address Manager。
下图解释了 IdP 启动的 SSO 的认证过程:
SSO 模式
SSO 已启用 | SSO 强制实施 |
---|---|
|
|
进行 SSO 身份验证时,IdP 会生成访问令牌。Address Manager 和 IdP 之间的任何时钟差异都可能导致令牌到期时间不一致,从而导致身份验证错误。BlueCat 建议使用 NTP 来同步 Address Manager 和 IdP。