开启 SSO 登录
NineData 支持 SSO 登录方式,减少因登录产生的时间成本,提升效率。本文介绍如何管理 SSO 登录。
前提条件
- 已创建或加入组织,并且该组织已开通数据库 DevOps 企业版,同时请确保您的包年包月订阅未过期。
- 当前账号已切换到目标组织。更多信息,请参见切换到组织。
注意事项
- 开启 SSO 登录后,当前组织的标识将从组织更改为 SSO,除系统管理员以外,所有成员只能通过 SSO 方式登录组织。
- 开启 SSO 登录后,系统管理员无法再通过邀请用户的方式添加成员,只能通过新建 SSO 用户的方式添加。
- 开启 SSO 登录后,如需关闭 SSO,组织内必须有其他账号类型为普通账号的系统管理员角色,否则无法关闭 SSO。
操作步骤
登录 NineData 控制台。
在左侧导航栏,单击账户管理>组织信息。
在组织信息页面,单击 SSO 账号登录右侧的开关,开启 SSO 登录,然后根据下表进行配置。
参数 说明 开启 SSO 账号登录 开启 SSO 功能的开关。 协议类型 支持 SAML2.0 和 OAuth2.0 两种协议。 - SAML2.0:基于 XML 的开放标准,用于在身份提供方(Identity Provider, IdP)和服务提供方(Service Provider, SP)之间传递身份验证和授权信息。
- OAuth2.0:OAuth2.0 是一种授权框架,允许用户授权第三方应用访问自己的资源,而不需要直接暴露用户名和密码。
组织域名 输入您的组织域名,您可以直接输入您的组织名称。 组织登录直达地址 系统基于您输入的组织域名自动生成组织登录直达地址,后续可通过该链接直接登录到目标组织。 OAuth 服务提供商元数据(OAuth2.0) 基于您输入的组织域名,自动生成标识符 (实体 ID)和回复 URL (断言使用者服务 URL)。用于在 IdP 提供商的配置页面进行关联。更多信息,请参见钉钉接入 NineData SSO。 参数(OAuth2.0) 输入 IdP 提供商处获取的信息。更多信息,请参见钉钉接入 NineData SSO。 SAML 服务提供商元数据(SAML2.0) 基于您输入的组织域名,自动生成标识符 (实体 ID)和回复 URL (断言使用者服务 URL)。单击 SAML 服务提供商元数据右侧的下载,通过下载的 XML 文件在 IdP 提供商的控制台中进行关联,并获取 SSO 登录所需的元数据信息。更多信息,请参见飞书接入 NineData SSO。 元数据(SAML2.0) 分别输入 IdP 提供商处获取的标识符 (实体 ID)、登录地址、注销地址、证书认证信息。您也可以单击上传文件自动识别,上传 IdP 提供商处下载的联合源数据 XML 文件,自动填充元数据信息。更多信息,请参见飞书接入 NineData SSO。 允许 SSO 账号自动加入(可选) 根据需求开启,开启后用户在通过 SSO 方式登录 NineData 时,系统将自动添加该用户到 NineData,您无需再提前进行新建 SSO 用户操作。
注意:如果后期管理员关闭了 SSO 登录,组织中的 SSO 账号将无法再登录该组织,普通账号不受影响。默认角色(可选) 允许 SSO 账号自动加入开启的情况下可选,指定自动加入的 SSO 用户默认绑定的角色,支持单选和多选。 用户信息映射(可选) 用于在启用 SSO 后,将身份提供商(IdP)返回的用户字段自动写入 NineData 系统中的用户资料。通过配置字段映射,可在用户首次使用 SSO 登录时自动补全邮箱、手机号、用户名等基础信息,减少管理员手工录入的工作量。 单击保存修改。
附录:在 Azure AD 中配置应用程序
使用管理员用户登录到 Azure 控制台。
在顶部搜索框中输入企业应用程序,并在搜索结果中单击企业应用程序。
单击新建应用程序,在浏览 Azure AD 库页面,单击创建你自己的应用程序。
在右侧弹出的窗口中,自定义输入应用名称,并在下方选择集成未在库中找到的任何其他应用程序(非库),单击创建。
创建完成后,页面自动跳转至该应用程序的概述页,在左侧导航栏单击单一登录,并单击 SAML 作为登录方法。
在设置 SAML 单一登录页面,单击上载元数据文件,选择开启 SSO 登录中下载的 XML 文件,单击添加。
在右侧弹出的基本 SAML 配置页面,单击保存。
往下拖动页面到第 3 个区域(SAML 证书),单击联合元数据 XML 右侧的下载。
提示该 XML 文件中包含了 SSO 登录所需的元数据信息(标识符、登录地址、注销地址、证书),如果不下载该 XML 文件,也可以手动记录第 4 个区域中的元数据信息、并下载第 3 个区域中的证书(base64)。