SAML在进行单点登录时,会将用户身份信息传递于SAMLResponse的NameID字段中,或存在与其他字段。
配置应用账户,即是配置使用哪类值,当做账户的身份标识信息。
最常用的设定为IDaaS账户名或IDaaS邮箱。
单点登录配置项
您可以在如下四种规则中进行选择:
选项 | 说明 |
IDaaS账户 | 指定当前应用单点登录时,使用IDaaS账户信息作为应用身份标识。选择此项,需确保进行单点登录的账户,在IDaaS和应用中用户名完全一致,否则会导致失败,甚至账户错乱。 这是最常用的配置。避免为每个IDaaS账户单独配置应用账户,省时省力。 可选子选项有两个:
|
应用账户 | 管理员需要指定当前应用SSO时每个IDaaS账户使用的应用账户。未指定,则无法单点登录。 例如:IDaaS中有账户名为test_user,希望登录应用为admin,可通过手动配置完成。配置方式参考手动添加应用账户。 若应用使用人数较少,可使用此配置,获得最大灵活度。 可选子选项有一个:应用账户。 |
优先应用账户 | 结合了前两个选项的优点。允许管理员手动配置应用账户,并优先使用。配置方式参考手动添加应用账户。当未配置应用账户时,默认使用IDaaS身份标识信息,作为兜底方案。 可选子选项有两个:
|
表达式 | 若应用账户具备特定规则,可以配置表达式。 例如,应用将每个账户的邮箱前缀作为账户名。 无可选子选项。表达式较为复杂,请咨询IDaaS团队提供配置。 可输入表达式规则。 |
手动添加应用账户
若在单点登录表单的应用账户选项中,选择或优先选择应用账户。,则可以手动配置不同账户在访问该应用时的身份。
单击,弹出表单。
在表单上方搜索找到IDaaS账户,选择后,在下方为其添加应用账户,举例:admin、root、手机号码、zhangsan等。保存即完成。
您同时可以为一个IDaaS账户设置多个应用账户。在发起单点登录时,用户可选择其中一个进行登录。