配置单点登录 (SSO)
SSO 是一种身份验证流程,让用户能够在一次登录后即可访问多个应用程序。Diligent One 支持遵守 OASIS SAML 2.0 协议的所有身份提供程序集成 SSO。
Diligent One 为 SSO 提供的支持有限,因为其他身份验证场景会给公司带来潜在的安全风险。
权限
只有系统管理员才能为其公司配置 SSO 设置。
要求
- 身份提供程序必须遵守 OASIS SAML 2.0 协议。
- 启用了 SSO 的 Diligent One 实例中的所有用户,必须通过身份提供程序进行身份验证。
如果用户访问多个实例
通过身份提供程序进行身份验证的用户可以为多个 Diligent One 实例执行这样的操作,前提条件是所有这些实例都属于同一个公司。
要核实是否符合此前提条件,请查看每个实例的组织设置中的“客户名称”。它必须在 SSO 用户需要访问的所有实例中都相同。有关详细信息,请参阅更新组织设置。此外,您可以使用实例切换器验证所考察的实例被缩排在相同公司名称的下面。有关详细信息,请参阅在 Diligent One 实例之间切换。
如果您需要更改您的实例所属的公司,请联系“支持”。
身份验证不针对特定区域。用户可以在多个区域访问 Diligent One 实例。
如果用户访问培训实例
通过标识提供程序进行身份验证的用户可以创建培训实例,这些实例将自动链接到同一公司。
可以将其他用户添加到此培训实例,只要这些用户不属于具有相同电子邮件的其他培训实例。
如果您的用户为多家公司工作
为多家公司工作的用户(例如,顾问)不能使用 SSO。
如果贵公司的 Diligent One 用户使用了属于其他公司的、已启用 SSO 的实例,则无法为该用户启用 SSO。若要启用 SSO,则必须从贵公司的 Diligent One 中移除该用户,或者要求该用户将自己从其他公司的 Diligent One 中移除。
无法同时使用 SSO 和 2FA
您不能搭配使用单点登录和双因素身份验证。如果您需要同时使用 SSO 和 2FA,则应该使用您的 SSO 身份提供程序自带的 2FA 功能。如果已启用 SSO,则 Diligent One 不允许开启 2FA。同样,如果实例中的任意一个成员使用了 2FA,则 Diligent One 不允许开启 SSO。
如何启用 SSO
要为 Diligent One 启用 SSO,您需要执行几个任务:
- 在身份提供程序中配置 SSO 设置。
- 在启动面板中启用 SSO。
- 打开启动面板。
- 单击平台设置 > 组织。
- 单击管理 SSO 设置。
- 填写下文详述的 SSO 字段,然后选中启用单点登录 (SSO)。
- 单击保存更改。
- 将用户添加到已启用 SSO 的实例。
若要将 Diligent One 关联到身份提供程序,则必须指定所有用户的名字、姓氏和电子邮件地址。有关详细信息,请参阅添加用户的方法。
有关详细配置信息,请在支持中搜索 SSO 文章。
SSO 字段
| 字段 | 定义 |
|---|---|
| 自定义域 |
识别实例的唯一名称,并使贵公司的用户能够登录到 Diligent One。自定义域是附加了区域代码的实例的子域。 说明
您可以在更新组织页面上更改实例的子域。有关详细信息,请参阅更新组织设置。 |
| 实体 ID | 识别发出 SAML 请求的标识提供程序的 URL。这是一个针对您的标识提供程序的 URL。 |
| 元数据网址 | 启动面板可以从您的标识提供程序获取 SSO 配置数据的 URL。这是一个针对您的标识提供程序的 URL。 |
| 重定向登录 URL |
身份提供程序的 URL,供公司用户登录 Diligent One。 |
| 退出登录 URL | 在用户退出 Diligent One 之后,Diligent One 将公司用户重定向到的 URL。 |
| 安全证书指纹 |
可从您的标识提供程序获取的 SAML 证书的 SHA-1 或 SHA-256 指纹。 说明 如果 Diligent One 是服务提供商,则身份提供程序必须加密 SAML 响应,并且您必须在启动面板中配置安全证书指纹。 |
| 启用单点登录 (SSO) | 为此实例启用 SSO。 |
启动面板服务提供商 URL
配置 SSO 身份提供程序时,您可能需要以下启动面板服务提供商 URL:
- 服务提供商实体 ID https://accounts.highbond.com/saml/metadata/your_custom_domain
- 服务提供商断言消费者 URL https://accounts.highbond.com/saml/sso/consume/your_custom_domain
启用 SSO 后如何登录
启用 SSO 时,用户可以通过两种方式登录。
启用 SSO 时会发生什么?
启用 SSO 后,通过以下方式登录:转到 www.highbond.com,单击登录到自定义域,并输入自定义域。
或者,您可以使用身份提供程序登陆页面中的 Diligent One 应用程序链接访问 Diligent One。
访问任何 Diligent One 应用程序(包括单击从 Diligent One 发送的电子邮件中的链接)时,会通过身份提供程序将您重定向到 Diligent One。
一旦启用了 SSO,您既不能使用电子邮件和密码登录,也不能修改密码。
在启用 SSO 的情况下,无法更改电子邮件地址。但是,如果需要更改电子邮件地址,则系统管理员需要先在 Diligent One 中禁用 SSO,对电子邮件地址进行必要的更改,然后重新启用 SSO。否则,更改的电子邮件将被识别为新账户,并且用户将无法访问其之前凭据中的信息。
我每次登录时,都需要输入自己的自定义域吗?
- 如果通过身份提供程序登录,则不必每一次都提供自定义域。
- 如果通过 Diligent One 登录,则可以访问以下 URL 以免每次登录时输入自定义域:https://accounts.highbond.com/saml/sso?custom_domain=your-custom-domain
登录到 Diligent One 的多个实例
如果您有权访问 Diligent One 的多个实例,则系统会显示您最近使用的实例。您可以正常切换实例。有关详细信息,请参阅在 Diligent One 实例之间切换。
启用 SSO 后如何退出登录
Diligent One 支持使用身份提供程序启动的工作流的 SLO(单点退出登录)。SLO URL 是:
https://accounts.highbond.com/saml/slo/your-custom-domain
会话有效期的工作原理
如果 Diligent One 会话即将过期,或者您尝试退出登录 Diligent One,则必须首先退出登录身份提供程序。否则,您将自动重新登录到 Diligent One。
例如,如果 Diligent One 实例的会话有效期是三个小时,并且身份提供程序的会话有效期是三天,则您将会自动登录 Diligent One 三天。
出于安全考虑,公司应该确保身份提供程序的会话有效期短于实例的会话有效期。
您可以在更新组织页面上更改实例的会话过期。有关详细信息,请参阅更新组织设置。
将某人添加到 Diligent One 的 SSO 实例后,会出现什么情况
Diligent One 支持 SAML 的即时 (JIT) 配置。用户首次登录后,会在 Diligent One 中创建具有相同电子邮件的对应的用户帐户。
匹配电子邮件地址与域帐户
Diligent 确定用户的首选标识提供程序和用户名。每个用户的电子邮件地址和域帐户必须匹配。如果用户的电子邮件地址与域帐户不匹配,则必须在目录访问服务中为用户设置一个别名。
订阅和访问 Diligent One 应用程序
用户既不会获得订阅分配,也无法访问任何 Diligent One 应用程序。系统管理员必须在启动面板中为用户分配角色和订阅,以确保用户在实例中拥有适当的访问权限。
禁用 SSO
如果您的公司启用了 SSO,后来又决定禁用它:
- 在启用 SSO 之前未设置密码的用户必须单击登录页面上的重设密码以获取密码。
- 在启用 SSO 之前设置了密码的用户可以使用其用户名和密码登录。
SSO 和 SAML
Diligent One 支持遵守 OASIS SAML 2.0 协议的所有身份提供程序集成 SSO。
什么是 OASIS SAML 2.0?
SSO 允许用户使用安全声明标记语言 2.0 (SAML 2.0) 登录,OASIS SAML 2.0 是一种用于两个 web 应用程序之间进行通信和身份验证的格式。
OASIS SAML 2.0 包括:
- 用户请求服务
- 服务提供商或应用程序提供服务 (Diligent One)
- 管理用户信息的身份提供程序或存储库
对于启用了 SSO 的实例,会在用户使用支持的 SAML 身份提供程序登录到 Diligent One 时对其进行身份验证。如果没有在公司的 SAML 身份提供程序中启用该用户,则会拒绝该用户访问。
支持的工作流程
配置了 SSO 设置之后,将会支持以下工作流:
- 已启动身份提供程序 - 从身份提供程序登录页面访问 Diligent One。
- 已启动服务供应商 - 从 Diligent One 主页访问 Diligent One。
身份提供程序启动的身份验证流程
服务提供应商启动的身份验证过程
离职用户处理
如果用户离职,离职处理流程可能会将其从标识提供程序中删除。这到底会对用户产生多大的影响,取决于用户可以访问哪些实例以及这些实例的配置方式。
- 如果用户只是启用了 SSO 的实例的一部分,则他们将无法再访问 Diligent One 上的这些实例。
- 如果用户不仅是启用了 SSO 的实例的一部分,而且也是其他非 SSO 实例的一部分:
- 如果从身份提供程序中移除该用户,则其将无法访问任何 Diligent One 实例。如果用户尝试访问非 SSO 实例,将会看到错误消息:“贵组织已启用单点登录,请登录到贵组织的自定义域。”
- 如果手动将该用户从启用 SSO 的实例中删除,则该用户在重置密码后,仍可以访问非 SSO 实例。
