单点登录

Documentation Index

Fetch the complete documentation index at: https://docs.qoder.com/llms.txt
Use this file to discover all available pages before exploring further.

单点登录

本文介绍如何配置单点登录(SSO)。

概述

SAML (安全断言标记语言) 2.0 是一个开放标准,用于在身份提供商 (IDP)服务提供商 (SP) 之间交换认证和授权数据。为你的组织启用 SAML SSO 后,用户可以使用其企业身份提供商进行认证,无需再使用独立的登录凭证。

SAML SSO 的优势

  • 增强安全性: 通过你的企业身份提供商进行集中式认证。
  • 改善用户体验: 一套凭证即可访问企业的所有应用程序。
  • 简化用户管理: 自动化的添加用户。

前提条件

在配置 SAML SSO 之前,请确保你已具备以下条件:

  • 管理员权限: 你在组织内拥有管理员权限。
  • 身份提供商权限: 你拥有在组织的 IDP 中配置应用的权限。
  • DNS 访问权限:你拥有在组织的邮箱域名添加 TXT 记录以进行验证的权限。

image

配置流程

SAML 配置过程包括以下步骤:

image

步骤 1:验证邮箱域名

在配置 SAML 之前,你需要先验证公司邮箱域名的所有权,以确保只有使用已验证公司邮箱域名的用户,才能通过组织的 SSO 登录。

配置说明参见域名验证

步骤 2:创建 SAML 配置

为你的组织创建 SAML 配置。系统将自动生成 SP 的证书和密钥。

  1. 管理员前往组织设置 > 安全与身份。
  2. 点击 SAML 设置

初始化后,Qoder 将自动生成以下信息供你查看,以下信息你在后续配置身份提供商(IDP)时将需要使用:

  • SP 实体 ID (SP Entity ID)
  • SP 元数据 URL (SP Metadata URL)
  • SP ACS (断言消费者服务) URL
  • SP 证书和私钥

生成的 SP 信息示例:

字段 示例值
SP 实体 ID https://qoder.com/saml/metadata/{org_id}
SP 元数据 URL https://qoder.com/saml/metadata/{org_id}
SP ACS URL https://qoder.com/sso/callback/saml/{org_id}

image

步骤 3:配置身份提供商 (IDP)

你可以使用以下两种方法来配置 IDP 设置:

方法 A:自动配置 (推荐)

如果你的 IDP 提供元数据 URL,请使用此方法进行自动配置:

  1. SAML 配置页面,找到 IDP 元数据配置 (Identity Provider Metadata Configuration) 部分。
  2. 选择 元数据 URL (Import from URL) 配置模式。
  3. 输入你的 IDP 元数据 URL (例如,https://your-idp.example.com/app/metadata)。
  4. 点击 保存

系统将自动获取并解析以下信息:

  • IDP 实体 ID
  • SSO URL
  • 签名证书

方法 B:手动配置

如果你的 IDP 不提供元数据 URL,请按以下步骤手动配置设置:

  1. SAML 配置页面,选择 手动配置 (Manual Configuration) 模式。
  2. 填写以下字段:
  3. IDP 实体 ID (IDP Entity ID): 身份提供商的实体标识符。
  4. IDP SSO URL: SSO 登录端点 URL。
  5. IDP 公钥证书 (IDP Public Certificate): PEM 格式的签名证书(可选,但推荐)。
  6. 点击 保存

image

步骤 4:配置属性映射

SSO 可以自动创建和映射用户,因此需要配置如何将来自身份提供商 (IDP) 的用户属性映射到系统字段:

  1. SAML 配置页面,滚动到 属性映射 (Attribute Mapping) 部分。
  2. 配置属性映射:
  3. 邮箱属性 (Email Attribute): IDP 中用于邮箱字段的属性名称,如 user.email。
  4. 名称属性 (Name Attribute): IDP 中用于显示用户名称的属性名称,如 user.name。
  5. 点击 保存

步骤 5:测试配置

在激活前,请先测试 SAML 配置,以确保所有设置均已正确无误:

  1. SAML 配置页面,点击 测试配置 (Test SSO) 按钮。
  2. 系统将运行一系列验证检查。
  3. 查看测试结果。

image

步骤 6:激活 SAML

测试通过后,即可激活 SAML SSO:

  1. SAML 配置页面,确保所有测试检查均已通过。
  2. 点击 启用 SSO 开关。
  3. 在弹出的对话框中确认信息后激活。

激活后:

  • SAML 的状态将变为已激活
  • 组织成员现可使用 SAML SSO 登录。
  • 符合已验证邮箱域名的用户将被自动导向 SAML SSO 登录。


建议激活 SAML 后,当前管理员不要立即登出,另使用一个符合域名的用户尝试 SSO 登录进行验证,确保如 SSO 配置异常管理员有权限可以修改调整。

暂无介绍....

延伸阅读:

组织共享资源包
Teams版本
组织共享资源包

Documentation IndexFetch the complete documentation index at...

Allen 2026年4月3日
成员和角色
Teams版本
成员和角色

Documentation IndexFetch the complete documentation index at...

Allen 2026年4月3日
开始使用 Teams
Teams版本
开始使用 Teams

Documentation IndexFetch the complete documentation index at...

Allen 2026年4月3日
域名验证
Teams版本
域名验证

Documentation IndexFetch the complete documentation index at...

Allen 2026年4月3日
单点登录
Teams版本
单点登录

Documentation IndexFetch the complete documentation index at...

Allen 2026年4月3日