配置单点登录
title: "配置单点登录"
description: "通过单点登录使您能够轻松地集成到各种不同的应用和平台中,实现登录一次,便可访问多个相关联的应用程序和服务"
date: "2024-05-10T10:00:00+08:00"
url: "https://docs.flashcat.cloud/zh/flashduty/single-sign-on"
FlashDuty 目前提供 SAML2.0、 OIDC、CAS 和 LDAP(仅私有化版本) 协议的单点登录(SSO)接入,使您能够轻松地集成到各种不同的应用和平台中,这些功能能够帮助您快速实现与其他平台共享身份信息,用户只需在一个平台登录一次,便可访问多个相关联的应用程序和服务,无需为每个应用程序单独进行身份验证,从而提高了工作效率,提高用户体验,简化登录流程,并增强安全性。
配置SAML协议
配置路径:访问控制=>单点登录=>开启=>设置=>选中 SAML2.0 协议类型
字段 | 描述 |
---|---|
协议类型 | 选择 SAML2.0 |
元数据文档 | 通过身份提供商获取的 XML 文档 |
字段映射 | Flashduty通过映射字段从身份提供商提取出用户邮箱、用户名和手机信息。 |
登录域名 | 识别身份的重要依据,全局唯一 |
登录即创建账号 | 默认开启,如果关闭则需要邀请成员加入后才可以登录 |
Flashcat服务提供商信息 | Service Provider Metadata: Assertion Consumer Service URL: 断言地址,用于在身份提供商调用进行单点登录 |
配置OIDC协议
配置路径:访问控制=>单点登录=>开启=>设置=>选中 OIDC 协议类型
字段 | 描述 |
---|---|
协议类型 | 选择 OIDC 协议 |
Issuer | 从身份提供商获取 Issuer,大小写敏感的URL,不能包含 query 参数 |
Client ID | 客户端 ID,从身份提供商获取 |
Client Secret | 客户端秘钥,从身份服务商获取 |
字段映射 | Flashduty通过映射字段从身份提供商提取出用户邮箱、用户名和手机信息。 |
登录域名 | 识别身份的重要依据,全局唯一 |
登录即创建账号 | 默认开启,如果关闭则需要邀请成员加入后才可以登录 |
Flashcat服务提供商信息 | Redirect URL: 身份提供商回调快猫星云的地址 支持签名算法: RS256,RS384,RS512,ES256,ES384,ES512,PS256,PS384,PS512 (不支持HS256) 请求scope: openid, email, phone |
配置CAS协议
配置路径:访问控制=>单点登录=>开启=>设置=>选中 CAS 协议类型
字段 | 描述 |
---|---|
协议类型 | 选择 CAS 协议 |
CAS地址 | 从身份提供商获取的CAS服务地址 |
CAS登录路径 | CAS登录路径 |
字段映射 | Flashduty通过映射字段从身份提供商提取出用户邮箱、用户名和手机信息。 |
登录域名 | 识别身份的重要依据,全局唯一 |
登录即创建账号 | 默认开启,如果关闭则需要邀请成员加入后才可以登录 |
Flashcat服务提供商信息 | Redirect URL: 身份提供商回调快猫星云的地址 |
配置LDAP协议
:::tip
LDAP单点登录,仅 私有化版本
支持
:::
配置路径:访问控制=>单点登录=>开启=>设置=>选中 LDAP 协议类型
字段 | 描述 |
---|---|
协议类型 | 选择 LDAP 协议 |
LDAP链接 | LDAP服务地址,如:ldap://10.10.10.10:389 |
BIND DN | 用于连接 LDAP 的用户名,此用户名将用于测试连接结果和搜索用户或用户组。如,cn=admin,dc=flashduty,dc=com |
BIND DN 密码 | 用于连接 LDAP 的密码,该密码将会被加密存储到数据库中。 |
TLS | TLS登录时 Skip Verify |
StartTLS | 是否启用StartTLS |
用户 DN | 定义从哪个目录开始搜索用户,如:ou=people,dc=flashduty,dc=com |
认证过滤 | 该条件结合 Bind DN 以及对应的密码进行用户查找,用于检索用户的 DN 信息,结合用户密码进行 Ldap 认证。支持自定义 filter 表达式,基本形式为:(&(mail=%s)) 。注意:开始和结束的括号是必须的。 |
字段映射 | Flashduty通过映射字段从身份提供商提取出用户邮箱、用户名和手机信息,邮箱为必填映射字段 |
登录域名 | 识别身份的重要依据,全局唯一 |
登录即创建账号 | 默认开启,如果关闭则需要邀请成员加入后才可以登录 |
:::tip
字段映射,需要和身份提供商的配置保持一致,否则会导致异常。具体的值根据描述来填充,可以参考OpenLDAP 集成指引进行配置,如果还有问题请联系 FlashDuty 客服。
:::
最佳实践
通过 Authing 配置 FlashDuty 的 SSO 单点登录。
通过 Keycloak 配置 FlashDuty 的 SSO 单点登录。
通过 Ldap 配置 FlashDuty 的 SSO 单点登录。
常见问题
什么是SSO单点登录?
单点登录(SSO)是整合企业系统的解决方案之一,用于统一用户身份认证,用户只需要登录一次就可以访问所有企业相互信任的应用系统。SAML2.0协议特点?
SAML 2.0协议以XML为基础,通过安全、标准化的声明方式,跨域实现单点登录与身份验证,支持多种数据交换绑定,确保互操作性与灵活性。OIDC协议特点?
OIDC协议基于OAuth 2.0,提供标准化、安全的身份验证流程,利用JSON Web Tokens传输用户信息,实现跨平台的单点登录与身份管理。CAS协议特点?
CAS协议是一种用于Web应用的单点登录(SSO)协议,它允许用户在多个服务上使用单一的认证过程,使用服务票据(Service Ticket)和认证票据(Authentication Ticket)来实现服务的认证。LDAP协议特点?
LDAP协议基于X.500 标准发展而来,数据以树状结构组织,便于数据的层级管理和快速检索,提供了灵活的查询语言(LDAP Search Filter),允许用户根据复杂的条件过滤和搜索数据。是否支持多种协议接入?
目前不支持,只能选择一种协议接入修改于 2 个月前