配置 SSO
单点登录 (SSO) 允许您组织的成员使用其现有的企业身份凭据访问 k-ID,提供几个关键优势:
- 增强安全性 - 集中身份验证和执行组织的安全策略
- 简化访问管理 - 从单个位置添加或删除用户访问
- 改进用户体验 - 一套凭据用于所有企业应用程序
- 减少密码疲劳 - 无需记住单独的密码
- 合规性 - 满足访问控制和审计跟踪的监管要求
什么是 SSO?
单点登录 (SSO) 使用户能够使用您组织的身份提供商(如 Okta、Azure AD、Google Workspace 或 OneLogin)进行一次身份验证,并访问多个应用程序,包括 k-ID Compliance Studio,而无需输入单独的凭据。
先决条件
在为您的组织配置 SSO 之前:
- 您必须在 k-ID 中拥有 Admin 或 Owner 角色
- 您的组织必须拥有支持 SAML 2.0 或 EASIE 的身份提供商 (IdP)
- 您必须拥有对身份提供商的管理访问权限
- 您应该在 k-ID 组织中至少配置一个已验证的域
SSO 配置流程
步骤 1:联系 k-ID 支持
通过联系 k-ID 代表开始 SSO 设置流程:
- 通过您的专用客户经理联系,或
- 通过支持门户联系 k-ID 支持
- 表明您想为您的组织启用 SSO
步骤 2:接收 k-ID 配置详细信息
您的 k-ID 代表将向您提供在身份提供商中将 k-ID 配置为服务提供商所需的以下信息:
- Single sign on (ACS) URL - 您的 IdP 发送身份验证响应的断言消费者服务 URL
- Audience URI (SP Entity ID) - k-ID 作为服务提供商的唯一标识符
- Metadata URL - 包含 k-ID 服务提供商元数据的 URL
重要
请妥善保管这些详细信息并保持可访问性,因为您将在下一步中需要它们。
步骤 3:在您的身份提供商中配置 k-ID 应用
具体步骤因您的身份提供商而异,但一般流程是:
-
登录到您的身份提供商的管理员控制台
- 示例:Okta Admin、Azure AD Portal、Google Admin Console、OneLogin Portal
-
创建新应用程序
- 查找"Add application"、"Create app"或"New SAML app"等选项
- 选择 SAML 2.0 或 EASIE 作为协议(取决于您的 IdP 支持的内容)
-
输入 k-ID 配置详细信息
- ACS URL:输入 k-ID 提供的 Single sign on URL
- Entity ID:输入 k-ID 提供的 Audience URI
- 或者,某些 IdP 允许您直接导入 Metadata URL
-
配置属性映射(如需要)
- 电子邮件地址(必需)
- 名字
- 姓氏
-
分配用户或组
- 指定哪些用户应该有权访问 k-ID Compliance Studio
-
保存并激活应用程序
步骤 4:与 k-ID 共享您的 IdP 元数据
在您的身份提供商中创建 k-ID 应用程序后:
-
找到您的身份提供商的元数据 URL
- 大多数身份提供商提供元数据 URL 或允许您下载 XML 元数据文件
- 此元数据包含:
- 您的身份提供商的 Entity ID
- SSO 端点 URL
- 用于签名验证的公共证书
-
将元数据发送给您的 k-ID 代表
- 提供元数据 URL 或下载的 XML 文件
- 您的 k-ID 代表使用此信息完成 SSO 配置
步骤 5:k-ID 启用 SSO
一旦 k-ID 收到您的 IdP 元数据:
- 您的 k-ID 代表为您的组织配置 SSO
- 他们测试配置以确保正确的连接性
- 当 SSO 激活时,您将收到通知
重要注意事项
对用户身份验证的影响
一旦启用 SSO:
- 来自您已验证域的用户电子邮件地址的用户无法再使用其 k-ID 密码登录
- 所有身份验证都由您的身份提供商处理
- 用户必须使用 SSO 访问 k-ID Compliance Studio
故障排除
如果用户在启用 SSO 后遇到登录问题:
- 验证用户是否在您的身份提供商中分配给 k-ID 应用
- 检查用户的电子邮件域是否与您在 k-ID 中已验证的域匹配
- 确认属性映射在您的 IdP 中配置正确
- 查看您的身份提供商的日志以查找身份验证错误
- 联系 k-ID 支持寻求帮助
获取帮助
如果您需要 SSO 配置方面的帮助:
- 联系您的 k-ID 客户代表
- 通过 Compliance Studio 联系 k-ID 支持
- 查阅您的身份提供商文档以获取特定于 IdP 的指导