配置单点登录(SSO)身份验证
Enterprise Server 管理员可以为您的服务器配置并启用 Single Sign-On(SSO)功能。后端配置系统允许管理员为服务器用户建立、测试、启用和禁用 SSO 功能。登录 Enterprise Server 浏览器界面时可使用 SSO 选项。为服务器用户设置后,SSO 提供了便利性:可使用与公司范围系统相同的一组凭据来访问服务器。
关于访问 Enterprise Server 浏览器界面的更多信息,请参阅 Exploring the Browser-based Interface 页面。
SAML Single Sign-On
在 Enterprise Server 中完成配置并启用后,SSO 系统会基于您公司指定的 Identity Provider(IdP)(例如 Okta、OneLogin 等)来建立已授权的身份,并使用标准化的 Security Assertion Markup Language(SAML 2.0)进行 ID 断言通信。贵公司的 SSO 登录界面(如果尚未建立)通常基于 IdP 提供的模板或示例——它会触发基于 SAML 的身份验证断言交换,并提供对公司服务的访问。
当在浏览器界面的 Admin – Settings – Authentication 页面中,从 SSO 下拉列表选择 SAML 选项时,该页面会显示 Enterprise Server SSO 服务(Altium Metadata Configuration)的预配置 URL,以及用于上传或手动输入 IdP 授权连接数据(SAML Identity Provider Configuration)的选项。
当您的 Identity Provider 设置为与公司服务集成后,应可从该 Identity Provider 获取 IdP 配置元数据——请参见下方的 IdP 集成示例。要在 Enterprise Server 中配置 SAML SSO 系统(如果尚未完成),请使用
按钮定位并上传由贵公司 IdP 生成的 SAML IdP 配置 XML 文件。系统会解析上传的 IdP XML 文件,以提取主要配置字段(X509 Certificate、Identity Provider Issuer URL 和 IdP Single Sign-On URL)。或者,也可以将配置中的各个元素(安全证书和 URL)手动添加到相应字段中。
在运行集成测试之前,SSO 不会启用;该测试通过
按钮触发。它会验证 SSO 身份流程以及贵公司的 SSO 登录。配置测试成功后,点击
按钮(
)即可保存设置,并将其实际应用到 Enterprise Server。
Identity Provider 集成示例
展开下面的可折叠部分,查看以 OneLogin 作为 Identity Provider 的集成流程分步示例。
Integration with OneLogin
-
以管理员身份登录 OneLogin。
-
选择 Applications,然后选择 Add Apps。
-
搜索 “SAML”,并选择 SAML Test Connector (Advanced) IdP 应用选项。
-
指定一个应用名称(Display Name)。这仅用于显示。
-
点击 Save 按钮。
-
从 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面复制(
)Entity ID 以及 Single Sign-On URL(Assertion Consumer Service)条目,并按如下说明粘贴到相应字段中。
在 OneLogin 应用设置中:
-
将上述 Entity ID (service provider name)粘贴为 Audience (EntityID) URL。
-
将上述 Single Sign-On URL(Assertion Consumer Service)粘贴为 ACS (Consumer) URL Validator。
-
同时将 Single Sign-On URL(Assertion Consumer Service)粘贴为 ACS (Consumer) URL。
-
RelayState、Recipient、Single Logout URL 和 Login URL 字段可留空。
-
-
确保 SAML nameID format 选项设置为 Email,并将 SAML signature element 设置为 Both。点击 Save 按钮确认设置。
-
点击 More Actions 按钮,然后选择 SAML Metadata 菜单选项,将 Identity Provider SAML 元数据下载为 XML 文件。
-
该元数据文件将上传到 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面,用于配置 OneLogin SSO 服务——见下文。
-
如果希望在 Enterprise Server 中手动设置 OneLogin SSO 服务,可在 OneLogin 应用界面中选择 SSO 菜单选项以找到所需参数。
-
-
后续步骤是添加用户,并将该应用分配给这些用户。
展开下面的可折叠部分,查看以 Okta 作为 Identity Provider 的集成流程分步示例。
Integration with Okta
-
以管理员身份登录 Okta。
-
点击 Admin 链接/按钮,然后点击公司 Applications 下的 Add Application 按钮。
-
点击 Create New App 按钮。
-
选择 SAML 2.0 作为 Sign-on method。
-
指定一个 App name。这仅用于显示。
-
记录 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面中的 Single Sign On URL(Assertion Consumer Service)和 Entity ID 条目。
-
复制(
)并将 Enterprise Server 的 Single Sign-On URL 条目粘贴到 Okta SAML Settings 的 Single sign on URL 字段。
-
复制(
)并将 Enterprise Server 的 Entity ID 条目粘贴到 Okta SAML Settings 的 Audience URI 字段。
不需要 Default RelayState 条目。
-
其余字段按如下设置:
-
Name ID format 为
EmailAddress。 -
Application username 为(Okta)
Email。 -
在 ATTRIBUTE STATEMENTS 部分,将 Name 字段设置为:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress,并将 Value 设置为:user.email
-
-
点击 Next 按钮并选择 ..Okta customer adding an internal app 选项。
-
点击 Finish 按钮。
-
点击 Identity Provider metadata 链接并将元数据 XML 保存到您的计算机,或点击 View Setup Instructions 按钮以获取手动设置选项。
-
在 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面 SAML Identity Provider configuration 部分,上传已保存的元数据 XML 文件,或手动设置各个部分——见上文。
-
展开下面的可折叠部分,查看以 Microsoft Entra ID 作为 Identity Provider 的集成流程分步示例。
Integration with Microsoft Entra ID
-
选择 Identity,然后选择 Enterprise applications 选项。
-
创建您自己的应用。
-
选择 Users and groups,然后选择 Add user/group。
-
选择 Single sign-on、Step 1,然后选择 Edit。
-
从 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面复制(
)Entity ID 和 Single Sign-On URL。将复制的字符串粘贴到 Microsoft Entra 应用 SAML Configuration 区域中的 Entity ID 和 Assertion Consumer Service URL 字段。确保勾选这些字段的 Default 复选框,然后保存配置。
-
下载创建的 Federation Metadata XML。
-
将 Federation Metadata XML 上传到 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面,然后测试 SAML 集成连接——见上文。
展开下面的可折叠部分,查看以 JumpCloud 作为 Identity Provider 的集成流程分步示例。
Integration with JumpCloud
-
在 JumpCloud 界面中,从导航树选择 SSO,然后在 SSO 页面点击 Add New Application 按钮。
-
在配置窗口的 Search 中输入 “
saml”,以定位并安装 Custom SAML App。
-
为您的 Custom SAML App 实例命名——在本示例中,标签为
Altium。
-
切换到 JumpCloud 配置界面的 SSO 选项卡,并按所示输入来自 Enterprise Server 浏览器界面 Admin – Settings – Authentication 页面的 Entity/URL 设置。
-
输入 JumpCloud 端点 IDP URL,并启用 Declare Redirect Endpoint 选项。
-
使用 Export Metadata 选项下载生成的 SAML 元数据 XML 文件。
-
将该元数据 XML 文件上传到 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面,然后测试 SAML 集成连接——见上文。
展开下面的可折叠部分,查看以 Microsoft Administrative Domain Federated Services (AD FS) 作为身份提供方的集成流程分步示例。
Integration with Microsoft AD FS
-
打开 AD FS Management 应用程序(通常为 Start → Windows Administrative Tools → AD FS Management)。
-
导航到 Relying Party Trusts,并点击 Add Relying Party Trust... 选项 (1)。
-
在弹出窗口中,确保选择 Claims aware (2),并点击 Start (3)。
-
在 Select Data Source 步骤中选择 Enter data about the relying party manually (1),并点击 Next (2)。
-
为该信任提供一个显示名称。本示例使用
AltiumLive作为显示名称。
-
根据你的安全配置,你可以指定一个可选的令牌加密证书。出于本指南的目的,我们不使用该证书。
-
在 Configure URL 步骤中,确保选择 Enable support for the SAML 2.0 WebSSO protocol 选项 (1),并将从 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面复制的 Single Sign-On URL 输入到 Relying party SAML 2.0 SSO service URL: 字段 (2)。点击 Next (3)。
-
在 Configure Identifiers 步骤中,在输入字段 (1) 中为该信任提供一个标识符。该标识符必须取自 Enterprise Server 浏览器界面 Admin – Settings – Authentication 页面中 Altium Metadata Configuration 区域内的 Entity ID 条目。确保点击 Add 按钮 (2)。
结果应如下所示。点击 Next。
-
根据你的安全配置,你可以在下一步选择可选的访问控制策略。本示例不选择任何附加策略,并使用
Permit everyone选项继续。
-
检查配置并选择 Next。
-
并非所有设置在建立信任时都可用。要允许
SHA-1用作安全哈希算法,请右键单击你刚添加的 Relying Party Trust 名称并选择 Properties。
-
在属性窗口中选择 Advanced 选项卡 (1),并将
SHA-1设置为安全哈希算法 (2)。点击 OK 保存更改。
-
回到 AD FS 管理窗口,选择你添加的 Relaying Party Trust,并选择 Edit Claim Issuance Policy... 选项。
-
在 Edit Claim Issuance Policy 窗口中选择 Add Rule...
-
在向导的 Choose Rule Type 步骤中,确保已选择 Send LDAP Attributes as Claims,然后点击 Next。
-
提供一个 Claim rule name (1),选择
Active Directory作为 Attribute store (2),并从包含 Enterprise Server 用户用户名的 ID 中选择一个 LDAP Attribute (3)。该属性必须在 Outgoing Claim Type (3) 中映射到 Name ID。点击 Finish (4)。
-
通过点击 OK 确保已保存声明颁发策略。
-
从相应服务器下载
FederationMetadata.xml文件。 -
将该元数据 XML 文件上传到 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面,然后测试 SAML 集成连接——见上文。
展开下面的可折叠部分,查看以 AWS IAM Identity Center 作为身份提供方的集成流程分步示例:
Integration with AWS IAM Identity Center
-
前往 IAM Identity Center 并添加一个自定义 SAML 2.0 应用程序(Add Application)。
-
从你的 Altium SSO 页面填写 AWS 元数据 URL 设置。使用 Submit 确认设置。
-
从 IAM Identity Center metadata 区域下载元数据文件。
-
前往 Edit attribute mappings。
-
提供一个将包含 Enterprise Server 用户用户名的属性,并为 Format 选择
unspecified。 -
在 AWS 中创建新用户,并将该应用程序分配给已创建的用户或某个组。
-
确保 Altium 端与 IAM 端存在相同的用户。
-
将该元数据 XML 文件上传到 Enterprise Server 浏览器界面的 Admin – Settings – Authentication 页面,然后测试 SAML 集成连接——见上文。
OAuth / OIDC 单点登录
你的 Enterprise Server 的 SSO 功能也可以使用 OAuth / OIDC 标准进行配置。 当在浏览器界面 Admin – Settings – Authentication 页面的 SSO 下拉列表中选择 OAuth / OIDC 选项时,该页面允许输入由你所选 IdP 提供的数据。
-
Application Credentials:
-
Client ID – 来自 IdP 的应用程序 ID。
-
Client Secret – 来自 IdP 的应用程序密钥。
-
-
Configuration:
-
Scopes to Request – scope 定义你的应用程序向用户请求的访问级别。
-
Authentication Endpoint – 该端点处理用户身份验证与授权同意。你的应用程序会将用户重定向到该端点以登录并授予权限。
-
Token Endpoint – 该端点用于将授权码或刷新令牌交换为访问令牌。这是应用程序与授权服务器之间的安全后端通道通信。
-
User Profile Endpoint – 该端点使用访问令牌获取用户资料信息(例如姓名、邮箱)。返回的数据取决于授权期间授予的 scope。
-
-
Mappings – 在表格的 Mapped Attribute 字段中,输入将映射到 Enterprise Server 端用户用户名的属性。
在运行集成测试之前不会启用 SSO,该测试通过
按钮触发。它会验证 SSO 身份流程以及你公司的 SSO 登录。配置测试成功后,你可以点击
按钮(
)保存设置,从而将其应用到 Enterprise Server。