v3.83.0:Access 支持集成 SAML 2.0 认证方式
更新内容
- 新增 SAML 2.0 认证方式
- 产品细节优化
本次更新主要在目录服务中新增 SAML 2.0 认证方式,支持团队成员通过 SAML 2.0 方式单点登录访问 PingCode 产品。目前很多身份认证提供商都支持 SAML2.0 认证协议,如 OneLogin 、 Ping Identity 、 Ping Federate 、 Okta等。本次介绍以 OneLogin 为例说明如何通过 SAML2.0 认证完成单点登录访问 PingCode。
SAML 2.0 配置入口
团队购买 Access 产品后,在目录服务点击「SAML2.0」进入具体的配置页面:
SAML2.0 基本配置信息
支持用户自定义登录图标,通过「点击上传」按钮可以上传一张图片作为当前团队通过 SAML2.0 认证登录时的图标,如果不设置将使用默认图标:
第二步填写 Idp 公钥信息,这里以 Onelogin 为例示范如何填写,以管理员身份登录团队的 OneLogin 账户,在「Applications」中点击「Add App」按钮:
在列表中搜索「SAML」并选择「SAML Custom Connector (Advanced)」:
设置好对应图标后点击「Save」按钮保存应用:
选择「SSO」界面,在「X.509 Certificate 」部分点击「View Details 」按钮:
点击「复制」按钮,复制证书内容:
将复制内容粘贴到 Access 的 Idp 公钥信息中:
在 Onelogin 中返回上一级「SSO」界面,选择「SLO Endpoint」地址点击「复制」按钮:
粘贴到 Access 单点登录地址中,点击「下一步」按钮:
完成 SAML 2.0 配置
进入到完成配置步骤,点击「下载 xml 文件」按钮后打开 xml 文件:
复制 xml 文件中的「entityID」和「Location」信息:
分别粘贴到 Onelogin 的「SAML Audience」 和「SAML Consumer URL」输入框中,完成后点击「Save」按钮:
完成后在 Access 配置步骤中选择帐号关联方式,支持选择邮箱、手机号、用户名等不同信息进行匹配:
- 选择邮箱时:将 SAML 2.0 中 Name ID的值 与 PingCode 系统帐号的邮箱进行匹配,匹配成功后即可直接登录进入 PingCode;
- 选择手机号:将 SAML 2.0 中 Name ID的值 与 PingCode 系统帐号的手机号进行匹配,匹配成功后即可直接登录进入 PingCode;
- 选择用户名:将 SAML 2.0 中 Name ID的值 与 PingCode 系统帐号的用户名进行匹配,匹配成功后即可直接登录进入 PingCode;
点击「完成」按钮,返回目录服务列表,团队已开启 SAML2.0 认证:
通过 SAML2.0 认证登录
在登录时选择第三方帐号登录,点击「SAML2.0」的登录图标:
跳转至 Onelogin 的登录页面,输入帐号密码:
输入 Onelogin 帐号密码无误后,会进入 Onelogin 控制台,选择之前创建好的 SAML 应用进行访问:
如果当前 Onelogin 帐号可以匹配到对应的 PingCode 帐号,则提示登录成功跳转回 PingCode 系统:
进入 PingCode 系统自动匹配到邮箱相同的 PingCode 帐号,可以正常访问 PingCode 系统:
如果当前 Onelogin 帐号未匹配到对应的 PingCode 帐号,无法访问 PingCode 系统,需要重新登录:
除了以上更新功能外,还优化了一些产品细节。
