通过 SAML 实现 SSO(单点登录)

通过 SAML 实现 SSO(单点登录)


首页 » 资源 » 此处

Lokad 通过 SAML 支持身份和访问管理系统 (IAM)。借助这项功能,用户可以安全使用平常的公司访问凭据来登录我们的系统,而且不会向 Lokad 泄露任何凭据。此外,这项功能还消除了在使用 Lokad 应用时另外创建密码的需要。从 IT 管理角度而言,这项功能为控制员工的 IT 访问(包括对 Lokad 的访问)提供了一种集中的方式。

了解 SSO 工作流

您的 Lokad 帐户将关联所选的域名,通常是关联员工电子邮件地址所使用的域名。

登录过程如下:
  • 转至 https://hub.lokad.com(与 Lokad 正常登录过程相同)
  • 输入所在公司的电子邮件地址
    • Lokad 识别为 SSO 配置的域
    • Lokad 将您重定向至与此域关联的身份提供商
  • 在重定向至公司的身份提供商时确认访问
    • 成功进行身份验证后,重定向至 Lokad
  • 畅享您对 Lokad 的访问

根据所在公司的身份验证,您可能需要也可能不需要重新输入公司凭据。通常来说,大部分策略有时要求重新输入凭据。这些策略不由 Lokad 掌控,因为在使用 SSO 时它们已托付给您公司的 IT 系统。

设置 SAML

要激活 SAML,首先需要确定哪个 Internet 域名将关联您的 Lokad 帐户。由于 Lokad 是按电子邮件地址识别用户,因此通常会使用公司电子邮件地址所使用的域名。

接下来需要获取与您的 IAM 系统关联的 SAML IdP 元数据文件。例如,在使用 Google 应用作为 SAML 身份提供商时,可以从管理门户(有关更多信息,请参见 Google 应用教程 )下载此文件。

SAML 的激活由 Lokad 支持人员处理,所以需要联系我们才能在 Lokad 中启用 SSO。您可以发送邮件至 contact@lokad.com 并在邮件主题中标明“为示例.com 激活 SAML”。同时还请附加 IdP 元数据文件。

Lokad 支持团队随即会验证您的 Lokad 帐户的所有用户是否具备匹配指定域名的电子邮件地址。否则,这些用户在激活 SAML 后也无法访问 Lokad。最后,Lokad 团队将免费代您完成 SAML 激活。

FTP 和 FTPS 访问

FTP 和 FTPS 采用登录/密码身份验证机制。根据经验,在推出 SSO 时,我们认为最好完全免除 Lokad 特定的密码,而不是纯粹为了传输文件给 Lokad 的缘故而保留部分登录/密码。我们建议使用 公共密钥升级到 SFTP 来进行身份验证。公共密钥身份验证不受 SAML 激活的影响。如果您公司不使用 SFTP,请随时将此情况告知 Lokad 支持团队,我们将为您提供备用解决方案。