通过云进行 SAML 身份验证

目录

  1. 什么是 SAML 身份验证?
  2. SAML 身份验证涉及哪些实体?
  3. SAML 身份验证有哪些优势?
  4. 如何在 Endpoint Central Cloud 中配置 SAML 身份验证?

什么是 SAML 身份验证?

安全断言标记语言(SAML)是一种广泛使用的单点登录身份验证协议,用户可以使用一组凭据访问多个应用程序和服务。Endpoint Central 支持 SAML 2.0 身份验证。启用此功能后,用户可以通过支持 SAML 身份验证的单点登录(SSO)服务登录 Endpoint Central Cloud。

SAML 身份验证涉及哪些实体?

SAML 身份验证主要涉及三个实体,即身份提供者(IdP)(如 Okta、OneLogin 等)、服务提供者(SP)和用户。SAML 身份验证的工作方式如下:

  1. 首先,用户通过访问服务提供者应用程序来发起登录过程
  2. 服务提供者生成 SAML 身份验证请求,并将用户重定向到身份提供者
  3. 用户输入其凭据,由身份提供者进行验证,并提示用户验证其身份
  4. 用户通过身份验证后,身份提供者会生成一个 SAML 响应,其中包含某些安全断言(一个经过数字签名的 XML 文档),其中包含有关用户身份和属性的所有信息。
  5. 身份提供者将 SAML 响应发送回服务提供者
  6. 服务提供者验证 SAML 响应上的数字签名,并从断言中提取用户的身份和属性
  7. 最后,如果验证了用户身份,服务提供者将授予对所请求应用程序或服务的访问权限

SAML 身份验证有哪些优势?

SAML 身份验证提供了许多优势,例如集中式用户管理、降低身份验证复杂性以及提高安全性。它消除了为各个应用程序分别设置特定凭据的需要。

如何在 Endpoint Central Cloud 中配置 SAML 身份验证?

先决条件:

  • 由于 IdP 重定向通过 HTTPS 端口进行,因此必须保持 HTTPS 端口开放。ACS URL 也仅通过 HTTPS 生成。
  • 身份提供者应支持 HTTP POST 绑定。
  • 身份提供者提供的证书不得被篡改、加密或过期,并且必须采用 base64 编码格式。

Endpoint Central Cloud 提供给 IdP 需要填写的数据

登录 Endpoint Central Cloud 后,转到“管理”选项卡,并在“用户管理”下选择 SAML Authentication。在这里,您可以找到由 Endpoint Central Cloud 提供、需要填写到 IdP 端的详细信息。

  • 实体 ID
    实体 ID 是一个全局唯一标识符,用于表示您的 Endpoint Central Cloud 实例。zoho.com 是需要在 IdP 中配置的实体 ID。
  • 断言使用者服务 URL(ACS URL)
    ACS URL 或回复 URL 是一个指向您的 Endpoint Central Cloud 实例的端点,用于告知 IdP 将 SAML 响应发送到哪里。

Endpoint Central Cloud 提供的数据 

Endpoint Central 从 IdP 需要的数据

登录产品控制台后,导航到“管理”选项卡 > “用户管理” > SAML Authentication。在底部,您必须输入 IdP 的详细信息。

通过云进行 SAML 身份验证获取身份提供者详细信息 

  • 登录 URL
    登录 URL 是一个指向您的 IdP 的端点,用于告知 Endpoint Central Cloud 将 SAML 请求发送到哪里。
  • 注销 URL
    注销 URL 是 IdP 的 URL,当用户从 Endpoint Central Cloud 注销时,登出请求将发送到该地址。
     
  • 证书
    来自 IdP 的证书,Endpoint Central Cloud 使用它来验证未来来自 IdP 的 SAML 请求。
     

注意:我们仅接受以下证书格式:base64 编码的 .cer、.crt、.cert 或 .pem 文件。请确保上传的证书采用上述格式之一。

以下是一些可帮助您通过云配置 SAML 身份验证的视频:

  • OneLogin

  • Okta

  • Azure

  • Auth0

请在 Auth0 配置的设置窗口中输入以下 JSON 代码,如下所示:

{
"nameIdentifierFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailaddress", 
"nameIdentifierProbes": [
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
]
}

Auth0

 
 

注意:

  • 要成功使用 SAML 登录,用户必须同时存在于 IdP 和 Endpoint Central Cloud 中。
  • 在身份提供者不支持的浏览器中,SAML 身份验证可能无法正常工作。
  • 当前不支持 SAML 注销。
  • Endpoint Central Cloud 中的所有帐户都应关联唯一的电子邮件 ID。
  • 应在身份提供者中选择电子邮件 ID 作为用户身份验证字段。

我们的客户