使用SAML的单点登录
和过程经理版本14.6,管理员不再需要signavio支持以配置单点登录。
如果您已经使用SAML设置了SSO,则必须出于安全原因在接下来的几个月内更新IDP和SP配置。signavio会让您知道您可以保持现有配置多长时间。
要更新配置,请首先,请按照部分中的步骤进行操作配置IDP.。然后,您必须启用新选项使用最新的Saml 2.0功能在SignaVio SSO设置中,如部分所述使用SAML启用SSO。
单点登录(SSO)是一种身份验证方法。设置SSO时,用户只需使用一个帐户登录即可访问不同的应用程序。signavio支持使用SaaS和本地解决方案的安全断言标记语言(SAML)进行SSO身份验证。
SAML是在服务提供商(SP)和身份提供程序(IDP)之间交换认证和授权数据的标准。signavio支持IDP启动的身份验证和SP启动的身份验证。
SignaVio充当SP并同意信任IDP来验证用户。当用户想要访问signavio时,signavio向IDP发送身份验证请求。身份提供程序验证用户并生成身份验证断言,允许用户使用其凭据登录工作区。
即时供应
启用SSO时,您可以指定用户第一次访问SignaVio时自动获取帐户。这被称为即时(JIT)配置,并允许用户不必使用signavio本身注册。
对于工作的JIT供应,必须满足以下条件:
- 必须使用IDP成功验证用户。
- IDP的响应包含必填属性。阅读更多部分配置IDP.。
- 至少有1个未分配的许可证合作枢纽可用。
使用JIT配置启用,发生以下情况:
- 当用户首次登录时,会自动创建一个新帐户。
- 当用户登录已具有SignaVio帐户和IDP名称ID时,将在SignaVIO用户管理中自动更新任何IDP更改其名字,姓氏和电子邮件地址。
IDP发送的身份验证断言可以包含有关许可证和用户组分配的信息,以下内容适用:
- 鉴于Workspace中可用,用户会收到在IDP响应中指定的许可证。
- 赋予用户在IDP响应中指定的所有组,给定这些用户组存在。不存在的用户组将被忽略。
- 如果将用户分配给不包括在IDP响应中的SignaVio用户组,则从该组中删除用户。
禁用JIT配置后,只有具有现有帐户的用户只能访问工作区。其他用户将收到错误消息。阅读更多关于用户管理的详细信息管理用户和组。
使用SAML设置SSO
要使用SAML设置SSO,您必须配置IDP并为工作区启用SSO。然后,您可以邀请用户。
以下部分详细描述了所有步骤。
配置IDP.
您可以配置支持SAML 2.0的所有第三方IDP,例如:
- ADFS 2.0 / 3.0
- okta.
- onelogin.
对于配置,SP和IDP必须交换元数据文件。
按着这些次序:
在资源管理器中,单击设置>管理协作集线器身份验证。
配置对话框打开。
选择SAML 2.0的身份验证从下拉列表中。
配置对话框打开。
下载IDP元数据文件。为此,请单击链接下载SAML服务提供商元数据在较低的对话框区域。
将此文件上传到IDP或使用文件中的信息手动配置IDP。
在IDP配置中,设置SAML响应属性,如下所示:
属性 强制的 描述 名称ID 是的 这是主要标识符,必须是唯一的,而且不会改变。例如,使用内部员工ID。 电子邮件 是的 用户的电子邮件地址 名 是的 用户的名字 姓 是的 用户的姓氏 signavio_licenses_v1 不 您要分配给用户的许可证的名称,例如Enterprise Plus Edition。 signavio_groups_v1. 不 要分配给用户的组的名称。 IDP配置已完成。您可以继续为您的工作区启用SSO。在下一节阅读更多内容使用SAML启用SSO。
有效IDP响应的示例部分
<主题> ID12345 <主体配置方法=“URN:OASIS:名称:TC:SAML:2.0:CM:持票人”> <主管集合in InResponseTo =“Onelogin_6F26B11B-B290-4D2C-B79D-C46010FE686C”NotonOr.C46010FE686C“NotonOr.C46010Fe686C”NotonOr.C46010FE686C“NotonOr.C46010FE686C”NotonOrafter =“2020-10-23T11:49:29.291z”收件人=“https://editor.signavio.com/api/v2/saml/v2/tenant/a41f284f4e8841b2c7f5e2af78663c0f/login”/> <观众> https://editor.signavio.com/api/v2/SAML / V2 /租户/ A41F284F4E8841B2C7F5E2AF78663C0F / METADATA Collaboration Hub Workflow john.doe@signavio.com <属性名称=“first_name”> John <属性名称=“last_name”> <属性Value>Doe Employees Sales Process owners 使用SAML启用SSO
在开始之前,您需要来自IDP的配置元数据。在上一节中阅读更多内容配置IDP.。
按着这些次序:
在资源管理器中,单击设置>管理协作集线器身份验证。
配置对话框打开。
选择SAML 2.0的身份验证从下拉列表中。
配置对话框打开。
要启用IDP启动的身份验证,请选择启用SAML 2.0身份验证。
IDP启动的身份验证意味着登录IDP的用户必须选择signavio,然后将其重定向到工作区并登录。
通过SP-Beliated身份验证,从SignaVIO中注销的用户并尝试访问您的工作空间,被重定向到IDP,必须登录IDP,然后将返回SignaVIO并登录。
另外启用SP启动的身份验证,请选择允许服务提供商启动身份验证。
对于SP启动的身份验证,SP向IDP发送的初始请求可以用证书签名。如果签名认证请求,则IDP具有额外的方法来验证SP发送请求。
要启用签名身份验证请求,请选择标记身份验证请求。
使用SAML启用即时配置,选择自动创建新用户帐户。
如果禁用,请启用使用最新的Saml 2.0功能。
最新的SAML 2.0功能可确保安全身份验证,此外提供额外的功能,如提供用户时分配用户组和许可证。
如果您第一次配置SSO,则默认情况下启用此选项,您必须保持启用状态,以便为工作区成功启用SSO。
如果您已经配置了SSO过程经理版本早于14.6,您必须首先更新您的IDP配置,如部分所述配置IDP.然后只能启用该选项使用最新的Saml 2.0功能手动。
为方便起见,一旦使用更新的IDP配置成功执行了IDP启动的SSO,它会自动启用。
将IDP提供的配置元数据粘贴到该字段XML元数据。
- 确认保存设置并关闭对话框。
邀请电子邮件中的链接提示
过程经理用户可以将邀请电子邮件发送给内部和外部利益相关者。
如果在工作区中启用单点登录但未强制执行,则这些邀请电子邮件包含2个Web链接:
使用单点登录访问(需要公司电子邮件帐户)
以下适用:
登录到其公司系统的用户直接导演合作枢纽。
注销用户需要输入他们的公司凭据以登录。
新用户需要与其公司的电子邮件注册并获得SignaVio帐户。
访问客人(您将被要求注册您的姓名和电子邮件地址)
以下适用:
具有访客帐户的用户使用其访客帐户凭据。
新用户需要注册。
阅读更多关于邀请特征过程经理在部分邀请利益相关者对图表发表评论。
通过电子邮件邀请新用户
如果启用了SP启动的身份验证和JIT配置,则可以通过向用户发送电子邮件来邀请用户到工作区。
按着这些次序:
获取工作区链接:
与工作区中的任何内容共享一个链接,例如通过从浏览器地址栏中复制URL。
例如,通过将工作空间ID添加为URL参数,创建到工作区的链接https://editor.signavio.com/p/hub?t=
将链接粘贴到电子邮件中,并将其发送给您使用SAML使用SSO登录的用户。
强制使用SSO使用凭据登录
当为工作区强制执行SSO时,用户无法使用其SignaVIO凭据登录。所有用户都必须通过IDP登录。
如果启用了SP启动的身份验证,请在单击工作区中的任何内容时登录用户,例如已发布的图表合作枢纽或者包含作为URL参数的工作空间ID的链接。
配置SSO但未为工作区强制执行时,以下内容适用:
- 用户可以通过IDP登录。
- 用户还可以通过在signavio登录页面上输入他们的电子邮件和密码来登录。
- 如果启用了SP启动的身份验证,则单击工作区中的链接时始终将记录的用户重定向到IDP。
当您设置强制SSO时,请确保SSO正在工作,然后从工作区注销。否则,包括您的所有用户,都将无法访问工作区。要测试SSO配置,请使用其他用户帐户注销并再次登录。
如有问题,请联系signavio支持所以他们可以为您禁用此选项。
要执行SSO,请按照下列步骤操作:
在资源管理器中,单击设置>编辑安全配置。
配置对话框打开。
在里面密码策略部分,使能强制执行SSO登录。
- 确认保存。
下一步
这个页面有用吗?
- 是的
- 不