配置单点登录 (SSO)
Diligent 正在更新单点登录 (SSO) 配合 Diligent One 平台的工作方式。这些更新汇总如下,计划于 2025 年 1 月 6 日进行。
重要信息
熟悉即将推出的 SSO 更新,并在您的组织中做好任何必要的准备。
下面提供了新旧两版 SSO 帮助主题。请参见 SSO 帮助主题。
更新为单点登录
-
全新的登录体验 Diligent One 平台现在使用 OIDC (OpenID Connect) 进行身份验证,这是一种广泛接受的安全标准,可确保平台遵循现代且安全的最佳做法。作为此次更新的一部分,登录页面地址更新为 oidc.highbond.com(2025 年 1 月 6 日当周上线),用以取代 accounts.highbond.com。
-
多 SSO 配置 客户现在可以在一个组织内配置多个单点登录提供程序。
-
在 SSO 和非 SSO 组织之间切换 如果您在启用了 SSO 的组织和非 SSO 组织之间切换,系统将提示您输入 Diligent One 凭据。如果您没有此凭据,则必须通过选择忘记密码?链接来设置密码。如果您想对所有组织使用 SSO 来进行身份验证,请通知您的系统管理员为非 SSO 组织配置 SSO。要了解更多信息,请参考 SSO 帮助主题。
-
SSO 组织的系统管理员登录体验 系统管理员现在可以使用自己的 Diligent One 平台电子邮箱和密码登录 SSO 组织。这样,在用户无法通过身份验证进入客户组织的情况下,客户的系统管理员可以重新配置其 SSO 配置。系统管理员还可以选择让组织内的某些用户绕过 SSO。
-
Diligent One 平台不再支持即时 (JIT) 配置 为了符合最佳安全标准,我们不再支持即时配置。如果您想将组织的用户配置过程自动化,请与系统管理员协调,启用外部用户配置(例如 SCIM)。
-
使用公共证书而不是安全指纹 在配置新的 SSO 提供程序或更新当前提供程序时,必须输入公共证书而不是安全指纹。如果您已使用指纹配置了当前的 SSO,您会注意到,在 2025 年 1 月 6 日的版本后,指纹字段不可编辑。
配置或更新 SSO 时,请输入公共证书(包括 BEGIN CERTIFICATE 和 END CERTIFICATE 行),其格式如下:
-----BEGIN CERTIFICATE-----
<此处为证书内容>
-----END CERTIFICATE-----
SSO 帮助主题
下面提供了新旧两版 SSO 帮助主题。选择所需帮助主题的选项卡:
-
新版 SSO(2025 年)
-
旧版 SSO
SSO 是一种身份验证流程,让用户能够在一次登录后即可访问多个应用程序。 Diligent One 支持遵守 OASIS SAML 2.0 协议的所有身份提供程序集成 SSO。
您可以为一个组织设置多个 SSO 提供程序。
如果您将某人添加到启用了 SSO 的 Diligent One 组织,会发生什么
权限
只有系统管理员才能为其公司配置 SSO 设置。
要求
- 身份提供程序必须遵守 OASIS SAML 2.0 协议。
- 启用了 SSO 的 Diligent One 实例中的所有用户,必须通过身份提供程序进行身份验证。
如果您的用户访问多个组织
通过身份提供程序进行身份验证的用户可以为多个 Diligent One 组织执行这样的操作,前提条件是所有这些组织都属于同一个公司。
要核实是否符合此前提条件,请查看每个组织的组织设置中的“客户名称”。该名称必须在 SSO 用户需要访问的所有组织中都相同。有关详细信息,请参阅 更新组织设置。此外,您可以使用实例切换器验证所考察的组织是否被缩排在相同公司名称的下面。要了解更多信息,请参阅 在 Diligent One 组织之间切换。
如果您需要更改您的实例所属的公司,请联系“支持”。
身份验证不针对特定区域。 用户可以在多个区域访问 Diligent One 实例。
如果您的用户访问培训组织
通过身份提供程序进行身份验证的用户可以创建培训组织,这些实例将自动链接到同一公司。
可以将其他用户添加到这些组织,前提是这些用户不属于具有相同电子邮箱的其他培训组织。这些用户必须设置密码才能访问 Diligent One 培训组织,方法是选择登录页面上的忘记密码?链接。
如果您的用户为多家公司工作
在多家公司工作的用户也可以使用 SSO。登录时,系统会提示他们使用为自已正在访问的特定公司配置的 SSO 进行身份验证。
如果您想同时使用 SSO 和 2FA
您可以免除用户的 SSO 身份验证,允许他们使用 2FA 标准流程登录。有关详细信息,请参阅 将用户添加到允许列表以绕过 SSO。
设置 SSO 身份提供程序
- 打开启动面板。
- 从左侧导航面板中,选择平台设置。
- 从平台设置中的组织下选择安全设置。
- 在安全设置页面的单点登录 (SSO) 选项部分,选择设置提供程序。
- 在单点登录设置面板上,按照下表输入详细信息:
字段 描述 自定义域 识别实例的唯一名称,并使贵公司的用户能够登录到 Diligent One。 自定义域是附加了区域代码的实例的子域。
说明您可以在更新组织页面上更改实例的子域。要了解更多信息,请参阅 更新组织设置。
名称 输入身份提供程序的名称。 实体 ID 识别发出 SAML 请求的标识提供程序的 URL。 这是一个针对您的标识提供程序的 URL。 元数据网址 启动面板可以从您的标识提供程序获取 SSO 配置数据的 URL。 这是一个针对您的标识提供程序的 URL。 重定向登录网址 身份提供程序的 URL,供公司用户登录 Diligent One。 退出登录 URL 在用户退出 Diligent One 之后,Diligent One 将公司用户重定向到的 URL。 公共证书 为验证设备和用户而颁发的证书。 - 选择启用。
单点登录 (SSO) 选项部分会显示您添加的身份提供程序。
将用户添加到允许列表以绕过 SSO
添加多个身份验证选项时,可以免除用户使用 SSO 身份验证。通常,这种豁免适用于非任何身份提供程序成员的用户。这些豁免用户可以继续使用他们的用户名和密码登录。
-
所有系统管理员都会自动获得 SSO 绕过权限。
-
如果您的组织启用了双因素身份验证 (2FA),那么它仍然适用于所有用户,甚至包括那些具有绕过单点登录 (SSO) 权限的用户。因此,务必审核用户访问权限,以确保没有用户在无意中被锁定在平台之外。
- 在单点登录 (SSO) 选项部分(安全设置中),选择 + 添加用户选项卡(有权绕过 SSO 的用户部分旁边)。
- 在出现的有权绕过 SSO 的用户面板中,选择要免除使用 SSO 身份验证的用户。
- 选择添加用户。
您可以使用搜索字段查找用户。
添加到允许绕过 SSO 的列表中的用户会显示在有权绕过 SSO 的用户部分中。
从允许绕过 SSO 的列表中移除用户
要移除已在允许绕过 SSO 的列表中添加的用户,请在有权绕过 SSO 的用户部分中,选择要移除的用户旁边显示的移除图标。
无法从允许列表中移除管理员。所有系统管理员都会自动获得绕过权限。
禁用 SSO 身份提供程序
- 在安全设置页面的单点登录 (SSO) 选项部分,选择要禁用的身份提供程序的打开详细信息。
- 在单点登录设置面板中,从状态字段的下拉菜单中选择已禁用。
- 选择保存更改。
- 在出现的确认禁用 SSO 提供程序对话框中,选择确认。
SSO 身份提供程序被标记为已禁用(在单点登录 (SSO) 选项部分)。
禁用 SSO 提供程序后,组织中的用户将无法再使用该提供程序登录。但是,提供程序的信息仍将保存。
启用已禁用的 SSO 身份提供程序
- 在安全设置页面的单点登录 (SSO) 选项部分,选择要启用的身份提供程序的打开详细信息。
- 在单点登录设置面板中,从状态字段的下拉菜单中选择已启用。
- 选择保存更改。
SSO 身份提供程序被标记为已启用(在单点登录 (SSO) 选项部分)。
移除 SSO 身份提供程序
- 在安全设置页面的单点登录 (SSO) 选项部分,选择要移除的身份提供程序的打开详细信息。
- 在单点登录设置面板中,选择移除。
- 在出现的确认移除 SSO 提供程序对话框中,选择确认。
移除 SSO 提供程序后,组织中的用户将无法再使用该 SSO 提供程序登录。该提供程序的信息也会被删除。
启动面板服务提供商 URL
配置 SSO 身份提供程序时,您可能需要以下启动面板服务提供商 URL:
- 服务提供商实体 ID https://accounts.highbond.com/saml/metadata/your_custom_domain
- 服务提供商断言消费者 URL https://accounts.highbond.com/saml/sso/consume/your_custom_domain
启用 SSO 后如何登录
启用 SSO 时,用户可以通过两种方式登录。
启用 SSO 时会发生什么?
启用 SSO 后,可以通过 www.highbond.com 登录:单击继续 SSO,然后提供自定义域。
或者,您可以使用身份提供程序登陆页面中的 Diligent One 应用程序链接访问 Diligent One。
访问任何 Diligent One 应用程序(包括单击从 Diligent One 发送的电子邮件中的链接)时,会通过身份提供程序将您重定向到 Diligent One。
-
启用 SSO 后,您既不能使用电子邮箱和密码登录,也不能修改密码。但是,如果您是系统管理员或被列为可以绕过 SSO 的用户,则可以使用您的电子邮箱和密码登录。
-
如果您的组织中启用了 SSO,则无法更改电子邮件地址。但是,如果您的组织同时启用了 SSO 和 SCIM,则可以更改电子邮件地址。
-
对于仅启用 SSO 的组织,更新后的电子邮件地址会被视为新账户,阻止用户访问与其以前的凭据相关的信息。因此,对于此类组织,如果需要更改电子邮件地址,系统管理员必须首先在 Diligent One 中禁用 SSO,在更新电子邮件地址后再重新启用 SSO。
-
对于启用了 SCIM 的组织,在身份提供程序进行的电子邮件地址更改会自动体现在 Diligent One 平台中。
我每次登录时,都需要输入自己的自定义域吗?
- 如果通过身份提供程序登录,则不必每一次都提供自定义域。
- 如果通过 Diligent One 登录,则可以访问以下 URL 以免每次登录时输入自定义域:https://accounts.highbond.com/saml/sso?custom_domain=your-custom-domain
登录 Diligent One 的多个组织
如果您有权访问 Diligent One 的多个组织,则系统会显示您最近使用的组织。如果您同时属于启用了 SSO 的组织和非 SSO 组织,则必须设置密码才能登录到非 SSO 组织。为此,请选择忘记密码?链接。
If you have access to multiple organization of Diligent One, you can easily switch between them. For more information, see 在 Diligent One 组织之间切换.
在组织之间切换时,如果您尚未通过该组织的身份验证,系统将提示您输入要切换到的组织的身份认证凭据。
启用 SSO 后如何退出登录
Diligent One 支持使用身份提供程序启动的工作流的 SLO(单点退出登录)。 SLO URL 是:
https://accounts.highbond.com/saml/slo/your-custom-domain
会话有效期的工作原理
如果 Diligent One 会话即将过期,或者您尝试退出登录 Diligent One,则必须首先退出登录身份提供程序。 否则,您将自动重新登录到 Diligent One。
例如,如果您所在组织的会话有效期是三个小时,而身份提供程序的会话有效期是三天,则您将会自动登录 Diligent One 三天。
出于安全考虑,公司应该确保身份提供程序的会话有效期短于实例的会话有效期。
您可以在更新组织页面上更改组织的会话过期。 要了解更多信息,请参阅 更新组织设置。
如果您将某人添加到启用了 SSO 的 Diligent One 组织,会发生什么
Diligent One 支持 SCIM 外部配置。如果您的身份提供程序有 SCIM 选项,您可以自动将用户配置到平台中。但是,如果您的身份提供程序没有 SCIM,您必须手动将 SSO 用户添加到 Diligent One 组织中,他们才能访问平台。
订阅和访问 Diligent One 应用程序
用户既不会获得订阅分配,也无法访问任何 Diligent One 应用程序。系统管理员必须在启动面板中为用户分配角色和订阅,以确保用户在实例中拥有适当的访问权限。
禁用 SSO
如果您的公司启用了 SSO,后来又决定禁用它:
- 在启用 SSO 之前未设置密码的用户必须单击登录页面上的重置密码以获取密码。
- 在启用 SSO 之前设置了密码的用户可以使用其用户名和密码登录。
SSO 和 SAML
Diligent One 支持遵守 OASIS SAML 2.0 协议的所有身份提供程序集成 SSO。
什么是 OASIS SAML 2.0?
SSO 允许用户使用安全声明标记语言 2.0 (SAML 2.0) 登录,OASIS SAML 2.0 是一种用于两个 web 应用程序之间进行通信和身份验证的格式。
OASIS SAML 2.0 包括:
- 用户请求服务
- 服务提供商或应用程序提供服务 (Diligent One)
- 管理用户信息的身份提供程序或存储库
对于启用了 SSO 的实例,会在用户使用支持的 SAML 身份提供程序登录到 Diligent One 时对其进行身份验证。如果没有在公司的 SAML 身份提供程序中启用该用户,则会拒绝该用户访问。
支持的工作流程
配置了 SSO 设置之后,将会支持以下工作流:
- 已启动身份提供程序 - 从身份提供程序登陆页面访问 Diligent One。
- 已启动服务供应商 - 从 Diligent One 主页访问 Diligent One。
身份提供程序启动的身份验证流程
服务提供应商启动的身份验证过程
离职用户处理
如果用户离职,离职处理流程会将其从身份提供程序中移除。对用户的影响因他们所关联的组织以及这些组织的具体配置而异。
- 如果用户仅属于启用了 SSO 的组织,则无法再在 Diligent One 上访问这些组织。
- 如果用户同时属于启用了 SSO 的组织和其他非 SSO 组织:
- 如果将用户从身份提供程序中移除,则必须确保将用户从 Diligent One 组织中移除。系统管理员必须将其从非 SSO 组织中注销。
- 如果手动将该用户从启用了 SSO 的组织中移除,则该用户在重置密码后,仍可以访问非 SSO 实例。
SSO 是一种身份验证流程,让用户能够在一次登录后即可访问多个应用程序。 Diligent One 支持遵守 OASIS SAML 2.0 协议的所有身份提供程序集成 SSO。
Diligent One 为 SSO 提供的支持有限,因为其他身份验证场景会给公司带来潜在的安全风险。
将某人添加到 Diligent One 的 SSO 实例后,会出现什么情况
权限
只有系统管理员才能为其公司配置 SSO 设置。
要求
- 身份提供程序必须遵守 OASIS SAML 2.0 协议。
- 启用了 SSO 的 Diligent One 实例中的所有用户,必须通过身份提供程序进行身份验证。
如果用户访问多个实例
通过身份提供程序进行身份验证的用户可以为多个 Diligent One 实例执行这样的操作,前提条件是所有这些实例都属于同一个公司。
要核实是否符合此前提条件,请查看每个实例的组织设置中的“客户名称”。它必须在 SSO 用户需要访问的所有实例中都相同。有关详细信息,请参阅更新组织设置。此外,您可以使用实例切换器验证所考察的实例被缩排在相同公司名称的下面。要了解更多信息,请参阅 在 Diligent One 组织之间切换。
如果您需要更改您的实例所属的公司,请联系“支持”。
身份验证不针对特定区域。 用户可以在多个区域访问 Diligent One 实例。
如果用户访问培训实例
通过标识提供程序进行身份验证的用户可以创建培训实例,这些实例将自动链接到同一公司。
可以将其他用户添加到此培训实例,只要这些用户不属于具有相同电子邮件的其他培训实例。
如果您的用户为多家公司工作
为多家公司工作的用户(例如,顾问)不能使用 SSO。
如果贵公司的 Diligent One 用户使用了属于其他公司的、已启用 SSO 的实例,则无法为该用户启用 SSO。 若要启用 SSO,则必须从贵公司的 Diligent One 中移除该用户,或者要求该用户将自己从其他公司的 Diligent One 中移除。
无法同时使用 SSO 和 2FA
您不能搭配使用单点登录和双因素身份验证。 如果您需要同时使用 SSO 和 2FA,则应该使用您的 SSO 身份提供程序自带的 2FA 功能。 如果已启用 SSO,则 Diligent One 不允许开启 2FA。 同样,如果实例中的任意一个成员使用了 2FA,则 Diligent One 不允许开启 SSO。
如何启用 SSO
要为 Diligent One 启用 SSO,您需要执行几个任务:
- 在身份提供程序中配置 SSO 设置。
- 在启动面板中启用 SSO。
- 打开启动面板。
- 单击平台设置 > 组织。
- 单击管理 SSO 设置。
- 填写下文详述的 SSO 字段,然后选中启用单点登录 (SSO)。
- 单击保存更改。
- 将用户添加到已启用 SSO 的实例。
若要将 Diligent One 关联到身份提供程序,则必须指定所有用户的名字、姓氏和电子邮件地址。 有关详细信息,请参阅添加用户的方法。
有关详细配置信息,请在支持中搜索 SSO 文章。
SSO 字段
| 字段 | 定义 |
|---|---|
| 自定义域 |
识别实例的唯一名称,并使贵公司的用户能够登录到 Diligent One。 自定义域是附加了区域代码的实例的子域。 说明
您可以在更新组织页面上更改实例的子域。要了解更多信息,请参阅 更新组织设置。 |
| 实体 ID | 识别发出 SAML 请求的标识提供程序的 URL。 这是一个针对您的标识提供程序的 URL。 |
| 元数据网址 | 启动面板可以从您的标识提供程序获取 SSO 配置数据的 URL。 这是一个针对您的标识提供程序的 URL。 |
| 重定向登录 URL |
身份提供程序的 URL,供公司用户登录 Diligent One。 |
| 退出登录 URL | 在用户退出 Diligent One 之后,Diligent One 将公司用户重定向到的 URL。 |
| 安全证书指纹 |
可从您的标识提供程序获取的 SAML 证书的 SHA-1 或 SHA-256 指纹。 说明 如果 Diligent One 是服务提供商,则身份提供程序必须加密 SAML 响应,并且您必须在启动面板中配置安全证书指纹。 |
| 启用单点登录 (SSO) | 为此实例启用 SSO。 |
启动面板服务提供商 URL
配置 SSO 身份提供程序时,您可能需要以下启动面板服务提供商 URL:
- 服务提供商实体 ID https://accounts.highbond.com/saml/metadata/your_custom_domain
- 服务提供商断言消费者 URL https://accounts.highbond.com/saml/sso/consume/your_custom_domain
启用 SSO 后如何登录
启用 SSO 时,用户可以通过两种方式登录。
启用 SSO 时会发生什么?
启用 SSO 后,通过访问 www.highbond.com,单击登录到定制域,并提供您的定制域,您即可登录。
或者,您可以使用身份提供程序登陆页面中的 Diligent One 应用程序链接访问 Diligent One。
访问任何 Diligent One 应用程序(包括单击从 Diligent One 发送的电子邮件中的链接)时,会通过身份提供程序将您重定向到 Diligent One。
一旦启用了 SSO,您既不能使用电子邮件和密码登录,也不能修改密码。
在启用 SSO 的情况下,无法更改电子邮件地址。 但是,如果需要更改电子邮件地址,则系统管理员需要先在 Diligent One 中禁用 SSO,对电子邮件地址进行必要的更改,然后重新启用 SSO。 否则,更改的电子邮件将被识别为新账户,并且用户将无法访问其之前凭据中的信息。
我每次登录时,都需要输入自己的自定义域吗?
- 如果通过身份提供程序登录,则不必每一次都提供自定义域。
- 如果通过 Diligent One 登录,则可以访问以下 URL 以免每次登录时输入自定义域:https://accounts.highbond.com/saml/sso?custom_domain=your-custom-domain
登录到 Diligent One 的多个实例
If you have access to multiple instances of Diligent One, you are brought to the instance you used most recently. You can switch instances normally. For more information, see 在 Diligent One 组织之间切换.
启用 SSO 后如何退出登录
Diligent One 支持使用身份提供程序启动的工作流的 SLO(单点退出登录)。 SLO URL 是:
https://accounts.highbond.com/saml/slo/your-custom-domain
会话有效期的工作原理
如果 Diligent One 会话即将过期,或者您尝试退出登录 Diligent One,则必须首先退出登录身份提供程序。 否则,您将自动重新登录到 Diligent One。
例如,如果 Diligent One 实例的会话有效期是三个小时,并且身份提供程序的会话有效期是三天,则您将会自动登录 Diligent One 三天。
出于安全考虑,公司应该确保身份提供程序的会话有效期短于实例的会话有效期。
您可以在更新组织页面上更改实例的会话过期。要了解更多信息,请参阅 更新组织设置。
将某人添加到 Diligent One 的 SSO 实例后,会出现什么情况
Diligent One 支持 SAML 的即时 (JIT) 配置。 用户首次登录后,会在 Diligent One 中创建具有相同电子邮件的对应的用户帐户。
匹配电子邮件地址与域帐户
Diligent 确定用户的首选标识提供程序和用户名。 每个用户的电子邮件地址和域帐户必须匹配。 如果用户的电子邮件地址与域帐户不匹配,则必须在目录访问服务中为用户设置一个别名。
订阅和访问 Diligent One 应用程序
用户既不会获得订阅分配,也无法访问任何 Diligent One 应用程序。系统管理员必须在启动面板中为用户分配角色和订阅,以确保用户在实例中拥有适当的访问权限。
禁用 SSO
如果您的公司启用了 SSO,后来又决定禁用它:
- 在启用 SSO 之前未设置密码的用户必须单击登录页面上的重置密码以获取密码。
- 在启用 SSO 之前设置了密码的用户可以使用其用户名和密码登录。
SSO 和 SAML
Diligent One 支持遵守 OASIS SAML 2.0 协议的所有身份提供程序集成 SSO。
什么是 OASIS SAML 2.0?
SSO 允许用户使用安全声明标记语言 2.0 (SAML 2.0) 登录,OASIS SAML 2.0 是一种用于两个 web 应用程序之间进行通信和身份验证的格式。
OASIS SAML 2.0 包括:
- 用户请求服务
- 服务提供商或应用程序提供服务 (Diligent One)
- 管理用户信息的身份提供程序或存储库
对于启用了 SSO 的实例,会在用户使用支持的 SAML 身份提供程序登录到 Diligent One 时对其进行身份验证。如果没有在公司的 SAML 身份提供程序中启用该用户,则会拒绝该用户访问。
支持的工作流程
配置了 SSO 设置之后,将会支持以下工作流:
- 已启动身份提供程序 - 从身份提供程序登陆页面访问 Diligent One。
- 已启动服务供应商 - 从 Diligent One 主页访问 Diligent One。
身份提供程序启动的身份验证流程
服务提供应商启动的身份验证过程
离职用户处理
如果用户离职,离职处理流程可能会将其从标识提供程序中删除。 这到底会对用户产生多大的影响,取决于用户可以访问哪些实例以及这些实例的配置方式。
- 如果用户只是启用了 SSO 的实例的一部分,则他们将无法再访问 Diligent One 上的这些实例。
- 如果用户不仅是启用了 SSO 的实例的一部分,而且也是其他非 SSO 实例的一部分:
- 如果从身份提供程序中移除该用户,则其将无法访问任何 Diligent One 实例。 如果该用户试图访问非 SSO 实例,将看到错误消息:“您的组织已经启用了单点登录,请登录到您组织的自定义域。”
- 如果手动将该用户从启用 SSO 的实例中删除,则该用户在重置密码后,仍可以访问非 SSO 实例。
