更新时间:2023-12-13 19:54:50
网宿科技支持SAML协议的单点登录,如果您的企业组织已有自己的账号体系,同时希望管理组织内成员使用网宿科技控制台,则您可以使用身份提供商(Identity Provider, IdP)功能,而不必在您的网宿科技账户下为每一个组织成员创建子用户。使用身份提供商,您可以使用组织内部账号单点登录到网宿科技控制台。
概念 | 说明 |
---|---|
身份提供商(IdP) | 存储用户身份信息,包括用户名、密码等,在用户登录时负责认证用户的服务。在企业和网宿进行联合身份登录时,身份提供商即指企业自身的身份提供商。 |
服务提供商(SP) | 利用IdP的身份管理功能,为用户提供具体服务的应用,SP会使用IdP提供的用户信息。在企业和网宿联合身份登录时,服务提供商即指网宿科技。 |
安全断言标记语言(SAML2.0) | 实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级SSO的一种事实标准。 |
SAML断言(SAML Assertion) | SAML协议中用来描述认证请求和认证响应的核心元素,用户的具体属性就包含在认证响应的断言里。 |
提供两种SSO方式:用户SSO和角色SSO。两种方式的使用场景没有什么大的区别,主要区别在于:
1.支持情况
SSO方式 | SP发起的SSO | IDP发起的SSO | 多个IDP |
---|---|---|---|
用户SSO | 暂时不支持(敬请期待) | 支持 | 不支持 |
角色SSO | 不支持 | 支持 | 支持 |
2.SAML响应内容格式不一样
角色SSO支持在SAML断言的AttributeStatement元素识别登录账号信息,而用户SSO是通过NameID元素识别。
<saml2:AttributeStatement>
<saml2:Attribute Name="https://cas.wangsu.com/SAML/Attributes/LoginName" >
<saml2:AttributeValue>wsc:iam::${parentLoginName}:login-name/${loginName},wsc:iam::${parentLoginName}:saml-provider/${provider}</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="https://cas.wangsu.com/SAML/Attributes/RoleSessionName">
<saml2:AttributeValue>${NameID}</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
更多响应信息见:角色SSO的SMAL响应
<saml2:Subject>
<saml2:NameID>${NameID}</saml2:NameID>
<saml2:SubjectConfirmation>
...
</saml2:SubjectConfirmation>
</saml2:Subject>
更多响应信息见:用户SSO的SAML响应