Saml SSO
- 适用于:
- 所有MindTouch版本
- 需要的角色:
- 行政
MindTouch Professional Services可以启用SAML单点登录(SSO)集成,以允许用户从组织的集中登录门户登录MindTouch网站。
常见的saml sso术语
- 安全断言标记语言(SAML)是一个优选的单点登录(SSO)认证协议,允许用户在单点认证点访问多个应用程序。
- 单点登录(SSO)是一个身份验证过程,允许用户使用一组凭据凭据登录多个应用程序。
- 一个身份提供商(IDP)是一种用于创建,管理和存储用户的身份验证凭据的服务(用户名,密码,组分配,角色等)
- 这服务提供者(SP)是用户想要访问(例如,MindTouch)的应用程序的所有者或提供者。
- 一个身份验证请求是从SP到IDP的HTTP请求,在启动登录会话后代表用户制作。MindTouch当用户点击链接或尝试访问受保护资源(如私人页面或文件附件)时启动登录。
- 一个断言是XML文档,IDP对身份验证请求的响应的一部分,或者将用户登录到包含登录或在SP上创建用户所需的元数据的SP中的IDP未经请求的请求。
为什么SAML SSO推荐认证?
- 安全:SAML在一个安全的身份提供商(IDP)提供认证的单点。用户凭据永远不会离开防火墙边界和整个公司使用没有存储和同步身份的诸多应用,最大限度地减少潜在的违约点。
- 改善在线用户体验:SAML允许用户通过单一登录体验安全地安全地访问多个应用程序,简化日常工作流程。
- 平台中立性:SAML协议与无关的任何系统互操作,从而减少与特定于供应商的方法相关的互操作性问题。
- 减少行政费用:通过单一的身份验证识别多个应用程序跨多个应用程序验证用户的负担,降低了帐户管理成本。
-
风险转移:SAML可以采取责任,以便对身份提供者进行适当管理身份,这与其业务模型更常用而不是服务提供商。
先决条件
- 管理员访问您的IDP
- 管理员访问MindTouch
- 工作知识SAML单点登录(SSO)和单个注销(SLO)方案
- 对此事的认知如何启用SAML SSO可能会影响您的实现或工作流程
如果为您的MindTouch网站启用,SAML SSO会话可能会发生在现有的VPN或IP限制后。看我们Saml SSO常见问题有关其他安全措施的更多信息。
从您的IDP收集信息
要配置最基本的SAML SSO集成,您需要来自身份提供程序(IDP)的以下信息:
- 实体ID(必填):IDP的唯一标识符。MindTouch仅接受来自此ID的SAML断言。
- 单点登录服务(必填):MindTouch发送身份验证请求的SSO端点。
- 单个注销服务(推荐):MINDTOUCH发送注销请求的SLO端点。
- 公共X.509证书(必需的):MindTouch的使用该证书来建立信任与您的IDP,并从IDP验证进入SAML断言
启用组同步(可选)
使服务供应商的讯息签名或加密(可选)
安装A.可选私有RSA键和X.509证书在SP将允许SP签署发送到IDP的身份验证请求,并从IDP接收的解密断言。如果未提供私有RSA密钥和X.509证书,则公共IDP X.509证书仍将用于验证IDP中的传入SAML断言。
请联系您的MindTouch的客户经理
您的客户经理将向您介绍提供SAML SSO集成服务的团队。根据您集成的复杂性,您可能只需要提供上面描述的IDP数据,或者您可以使用更高级的集成工作。后者可能需要更多地参与您的IDP维护者或供应商以及其他信息。