单点登录 SSO 简介
NineData 支持通过单点登录 SSO(Single Sign-On)方式登录 NineData 控制台,减少因登录产生的时间成本,提升效率。本文介绍 SSO 的基本概念。
概念
SSO(Single Sign-On)是一种身份验证技术,允许您使用单个凭据访问多个应用程序,无需每次都输入用户名和密码,降低身份信息被窥视盗用风险的同时,提高了用户体验和便利性。
在 SSO 系统中,通常情况下有三个核心角色:
用户:需要访问多个应用程序或系统的个人或实体。
服务提供者 SP(Service Provider):提供需要身份验证的应用程序或系统,此处为 NineData。
身份提供者 IdP(Identity Provider):负责身份验证和凭据管理的中心身份服务,例如 Azure AD。
当您尝试访问 NineData 时,SSO 会将访问请求重定向至身份提供者进行身份验证。一旦身份验证成功,身份提供者将向 NineData 发出包含您身份验证信息的断言(Assertion),NineData 通过断言验证您的身份并授予您访问权限。
流程说明
单点登录的工作流程包括了服务提供者 SP、身份提供者 IdP 以及凭据验证、会话管理等多个方面,需要借助标准的认证协议,如 SAML、OpenID Connect 等,以实现跨不同系统的认证和授权。
- 用户访问 NineData。
- NineData 检查用户是否已经登录,如果未登录,则会将用户重定向到身份提供者 IdP 的登录页面。
- 用户提供其凭据(例如用户名和密码)进行登录。一旦凭据被验证,IdP 将向 NineData 发送一个断言(Assertion)或令牌(Token),用于标识用户身份。
- NineData 接收到断言或令牌,以确认用户已经通过验证,向用户提供访问权限。
- 如果用户访问了另一个 SP 应用程序,该应用程序会要求用户提供其凭据。如果该用户已经在步骤 3 中进行过身份验证,则 IdP 将不再要求用户提供其凭据,并直接向该 SP 发送断言或令牌,以确认用户身份。
- 如果用户注销,则 IdP 将终止所有会话,并将用户重定向回 NineData 登录页面以重新登录。
配置方式
为了让企业用户能够通过 NineData 进行 SSO 登录,需要进行以下配置步骤:
在 NineData 中添加身份提供者 IdP 的配置信息,以建立 NineData 对 IdP 的信任。请参见开启 SSO 登录。
在 IdP 中配置 NineData 为可信服务提供者 SP,并配置 SAML 断言属性,以建立 IdP 对 NineData 的信任。请参见配置 IdP。
创建与 IdP 匹配的 SSO 用户,以便企业用户可以使用 SSO 登录到 NineData。请参见新建 SSO 用户。
提示如果在步骤 2 中开启了选项,则用户通过 SSO 登录 NineData 时系统将自动添加该用户,无需再进行此步骤。
完成上述步骤后,企业用户就可以通过NineData进行SSO登录了。请参见通过 SSO 登录 NineData。