SSO 单点登录
概述
易盾SAAS支持基于OAuth 2.0的单点登录(SSO登录)。企业内部一般都有自己的统一账号登录系统,通过将企业自有的身份管理系统作为身份源(认证源),可以实现企业自有认证系统到易盾SAAS的单点登录。企业员工可以使用认证源系统中的用户身份直接登录到易盾SAAS审核平台,无需输入账号和密码。
支持协议
OAuth2.0 OIDC 您可以创建多种不同的协议,但是只能同时启用一种SSO 登录方式
授权模式
目前易盾saas只支持 授权码授权类型(Authorization Code)
回调地址
用户从认证源系统通过身份验证后跳转回易盾系统的重定向接口地址(也称为回调地址),须预先在认证源系统中配置此地址。认证时请求中携带的Redirect URL须与配置的地址一致。在易盾SAAS后台的SSO协议配置页面选择对应的回调域名类型后会自动生成回调地址,请将此地址配置至认证源系统中。
回调域名类型
通用域名默认格式为:cms.dun.163.com
私信域名格式为 xxx.cms.dun.163.com
注:回调地址选哪种类型,则用户须从该域名页面进行登录
回调地址示例
1699517537032.png)
配置步骤
创建单点登录
进入配置页面(https://cms.dun.163.com/setting/sso),创建一个新的单点登录应用,选择需要的登录协议
1699517536705.png)
OAuth2.0/OIDC协议配置项
1699517536263.png)
从【配置】入口进入登录配置页,可以看到已经分配好的回调,下面的配置项需要一一根据要求填入,详细解释如下:
完整配置示例如下,以github为例
1699517536091.png)
配置仅 SSO登录
为了更好的信息安全防护,可以开启仅 SSO 登录功能。开启后除主账户外的所有子账号必须通过 SSO 登录方式登录,无法通过账号密码登录
1699517535394.png)
开启 SSO 登录协议
回到列表页,点击启用,SSO 即开启成功
使用 SSO登录
切换至 SSO 登录选项卡,输入企业域名(可以在这里查询到自己的主域名https://cms.dun.163.com/setting/enterprise-info),即可完成一次 SSO 登录
1699517536277.png)
子域名模式(在这里查看自己的登录子域名:https://cms.dun.163.com/setting/account)下无需输入企业域名,即可立即发起 SSO 登录。
为新账号配置角色
易盾默认使用用户邮箱作为用户标识,即使用用户邮箱作为认证源账号与易盾SAAS用户的绑定关系字段。如果邮箱账号(@符号之前的内容)与审核平台既有的账号能够完全匹配上,那么该 SSO 账号将于此账号直接完成绑定。
若账户是第一次进行 SSO 登录(即没有发现可以产生绑定关系的账号),此时平台会自动创建一个该邮箱的账号,并为其默认分配一个“SSO 登录”的角色,这个角色没有任何功能权限,也不计入审核系统的账号数量之中。
此时需请管理人员进入账号管理(https://cms.dun.163.com/setting/account)模块,为这些 SSO登录的账号赋予新的角色即可。此时再次进行 SSO 登录,就可以正常使用平台了
