配置SSO
单点登录(SSO)允许您的组织成员使用其现有的企业身份凭据访问k-ID,提供以下主要优势:
- 增强安全性 - 集�中身份验证和执行您组织的安全策略
- 简化访问管理 - 从单一位置添加或删除用户访问权限
- 改善用户体验 - 一套凭据用于所有企业应用程序
- 减少密码疲劳 - 消除记住单独密码的需要
- 合规性 - 满足访问控制和审计跟踪的监管要求
什么是SSO?
单点登录(SSO)使用户能够使用您组织的身份提供者(如Okta、Azure AD、Google Workspace或OneLogin)进行一次身份验证,并在不输入单独凭据的情况下访问多个应用程序,包括k-ID Compliance Studio。
先决条件
在为您的组织配置SSO之前:
- 您必须在k-ID中具有管理员或所有者角色
- 您的组织必须有一个支持SAML 2.0或EASIE的身份提供者(IdP)
- 您必须对您的身份提供者具有管理访问权限
- 您应该在k-ID组织中配置至少一个已验证域
SSO配置过程
步骤1:联系k-ID支持
通过联系k-ID代表开始SSO设置过程:
- 通过您的专用客户经理联系,或
- 通过支持门户联系k-ID支持
- 表明您想为您的组织启用SSO
步骤2:接收k-ID配置详情
您的k-ID代表将为您提供在您的身份提供者中将k-ID配置为服务提供者所需的以下信息:
- 单点登录(ACS)URL - 您的IdP将发送身份验证响应的断言消费者服务URL
- 受众URI(SP实体ID) - k-ID作为服务提供者的唯一标识符
- 元数据URL - 包含k-ID服务提供者元数据的URL
重要:请安全保存这些详情,因为您将在下一步中需要它们。
步骤3:在您的身份提供者中配置k-ID应用程序
具体步骤将根据您的身份提供者而有所不同,但一般过程是:
-
登录到您的身份提供者的管理控制台
- 示例:Okta Admin、Azure AD Portal、Google Admin Console、OneLogin Admin Portal
-
创建新应用程序
- 寻找"添加应用程序"、"创建应用程序"或"新建SAML应用程序"等选项
- 选择SAML 2.0或EASIE作为协议(取决于您的IdP支持的内容)
-
输入k-ID配置详情
- ACS URL:输入k-ID提供的单点登录URL
- 实体ID:输入k-ID提供的受众URI
- 或者,某些IdP允许您直接导入元数据URL
-
配置属性映射(如果需要)
- 电子邮件地址(必需)
- 名字
- 姓氏
-
分配用户或组
- 指定哪些用户应该访问k-ID Compliance Studio
-
保存并激活应用程序
步骤4:与k-ID共享您的IdP元数据
在您的身份提供者中创建k-ID应用程序后:
-
找到您的IdP的元数据URL
- 大多数身份提供者提供元数据URL或允许您下载XML元数据文件
- 此元数据包含:
- 您的IdP的实体ID
- SSO端点URL
- 用于签名验证的公共证书
-
将元数据发送给您的k-ID代表
- 提供元数据URL或下载的XML文件
- 您的k-ID代表将使用此信息完成SSO配置
步骤5:k-ID启用SSO
一旦k-ID收到您的IdP元数据:
- 您的k-ID代表将为您的组织配置SSO
- 他们将测试配置以确保适当的连接性
- 当SSO激活时,您将收到通知
重要考虑事项
对用户身份验证的影响
一旦启用SSO:
- 来自您已验证域的用户将不再能够使用其k-ID密码登录
- 所有身份验证将由您的身份提供者处理
- 用户必须使用SSO来访问k-ID Compliance Studio
故障排除
如果用户在启用SSO后遇到登录问题:
- 验证用户是否在您的身份提供者中分配给k-ID应用程序
- 检查用户的电子邮件域是否与您在k-ID中的已验证域匹配
- 确认您的IdP中正确配置了属性映射
- 查看您的IdP的日志以查找身份验证错误
- 联系k-ID支持寻求帮助
获取帮助
如果您需要SSO配置方面的帮助:
- 联系您的k-ID账户代表
- 通过开发者门户联系k-ID支持
- 查阅您的身份提供者文档以获取IdP特定指导