SAML 2.0(Security Assertion Markup Language)是一种基于XML的协议,用于在身份提供者(IdP)和服务提供者(SP)之间交换身份验证和授权数据。易企办支持SAML 2.0作为自定义登录方法,使组织能够利用现有的基于SAML的身份提供者进行用户身份验证。
配置SAML 2.0
要在易企办中将SAML 2.0配置为自定义登录方法,系统管理员需要访问易企办管理中心。在登录认证页面中,点击自定义登录方法部分底部的“添加自定义登录方法”按钮,然后从下拉列表中选择“SAML 2.0”:
在弹出窗口中,根据提供的文档或指南设置SAML 2.0集成。
在配置易企办的SAML 2.0单点登录(SSO)时,您需要提供几个属性以建立易企办与SAML 2.0身份提供者(IdP)之间的连接。具体的属性可能因您的IdP而异,但以下是您通常需要提供的常见属性:
元数据URL(服务提供者):服务提供者(SP)指的是用户尝试访问的应用程序或系统。在本例中,易企办作为服务提供者,是用户将使用来自身份提供者(IdP)的凭据登录的系统。您可以在配置页面上提供的链接中找到身份提供者元数据。您可以复制此链接并在配置IdP时使用它。
服务提供者(易企办)依赖于身份提供者(IdP)进行用户身份验证和属性声明。当用户尝试登录易企办时,SP通过将用户重定向到IdP进行身份验证来启动SAML SSO过程。然后,IdP验证用户的身份并生成包含用户身份属性和身份验证状态等信息的SAML断言。
一旦IdP生成了SAML断言,它将通过用户的浏览器发送回服务提供者(易企办)。SP使用IdP的公钥证书验证断言的数字签名,确保其真实性。如果SAML断言有效,SP将考虑用户已经通过身份验证,并允许他们访问易企办中请求的资源。
名称:为此SAML登录方法输入一个唯一的显示名称。此文本将显示在您组织的登录页面上。
元数据URL(身份提供者):这是一个包含您的SAML 2.0 IdP元数据的XML文件。它包括身份提供者(IdP)的实体ID、端点(例如单点登录URL和单点注销URL)和公钥证书等信息。易企办将要求您提供可以获取该文件的URL。
发布方: "发布方"指发布或提供SAML断言的实体。它是SAML断言中的重要元素,用于唯一标识生成断言的一方。通常情况下,您可以在这里输入"易企办"。您还可以参考IDP配置。
签名算法: 指在SAML断言和其他SAML相关元素中用于生成和验证数字签名的加密算法。
在SAML中,数字签名对于确保交换信息的完整性、真实性和不可否认性非常重要。签名算法决定了用于创建和验证数字签名的数学操作。
在配置SAML时,签名算法设置允许您指定用于生成SAML断言或其他SAML元素的数字签名的算法。在SAML中常用的签名算法包括:
RSA-SHA256: 该算法使用RSA加密算法和SHA-256哈希函数。与RSA-SHA1相比,它提供更强的安全性,并在现代SAML实现中广泛使用。
RSA-SHA384: 该算法将RSA加密算法与SHA-384(安全哈希算法384)哈希函数结合。RSA-SHA384相比RSA-SHA256提供更高级别的安全性。
RSA-SHA512: 与RSA-SHA256类似,该算法采用RSA加密算法,但使用SHA-512哈希函数。它比RSA-SHA256提供更强的安全性,但可能增加计算开销。
证书验证模式: 指在SAML(安全断言标记语言)身份验证过程中用于验证所呈现的数字证书的方法。您可以从下拉列表中选择几个选项。以下是不同选项的说明:
无: 选择"无"选项时,不进行证书验证。这意味着SAML服务或软件不验证身份提供者(IdP)或服务提供者(SP)呈现的证书的真实性或可信度。此选项仅应在开发或测试环境中使用,因为它会使系统容易受到潜在的安全风险。
PeerTrust: 在"PeerTrust"模式下,SAML服务或软件仅根据对证书的信任来验证同行(IdP或SP)呈现的数字证书。它验证所呈现的证书格式正确,并具有有效的信任链,直到受信任的根证书颁发机构(CA)。但它不执行其他检查,如证书吊销或主机名匹配。
ChainTrust: 在"ChainTrust"模式下,SAML服务或软件不仅验证同行的证书,还验证整个证书链,直到受信任的根CA。该模式确保链中的所有中间证书都是有效的,并由可信的机构正确签名。它提供比PeerTrust更高级别的证书验证。
PeerOrChainTrust: 此模式结合了PeerTrust和ChainTrust的验证方法。它首先尝试使用PeerTrust验证同行的证书,如果失败,则回退到ChainTrust。该模式允许系统接受有效证书,即使信任链不完整或未知,从而提供证书验证的灵活性。
自定义: "自定义"选项允许自定义证书验证过程。使用此模式,您可以使用自定义代码或外部库定义和实现自己的验证逻辑。它提供最高的灵活性,但也需要对证书验证和编程具有高级知识。
吊销模式: 指在SAML(安全断言标记语言)身份验证过程中用于检查数字证书吊销状态的方法。吊销检查是为了确保在接受证书作为有效之前,它没有被吊销或被篡改。易企办提供了不同的吊销模式选项,每种选项都有其自身的影响。
以下是可用选项及其区别:
NoCheck: 使用"无检查"选项时,不进行吊销检查。这意味着易企办不验证所呈现的证书是否已被吊销或仍然有效。选择此选项可能导致潜在的安全风险,因为吊销或被篡改的证书仍可能被接受。
Online: "在线"模式启用实时吊销检查。易企办将尝试连接到证书颁发机构(CA)或在线证书状态协议(OCSP)响应器,以验证所呈现的证书的吊销状态。此模式确保仅接受未吊销的证书。然而,它需要一个活动的互联网连接,并依赖于CA或OCSP响应器的可用性和响应性。
Offline: 在"离线"模式下,易企办使用本地存储的证书吊销列表(CRL)进行吊销检查。CRL是由CA发布的包含吊销证书列表的文件。易企办将对所呈现的证书与CRL中的条目进行比对,以确定它们的吊销状态。此模式不需要活动的互联网连接,但它依赖于定期更新本地CRL以确保最新的吊销状态信息。
在配置易企办的SAML集成时,您可以从身份提供者(IdP)提供的身份令牌中提取用户信息,例如姓名和电子邮件。这些属性通常作为声明(claims)包含在SAML断言中,并可在易企办中用于用户识别和个性化。以下是这些属性的概述以及如何使用它们:
属性:姓名(Name):姓名属性表示用户的全名或显示名称。它为用户提供了一个可读的标识符。姓名属性的值可以从身份令牌的声明中提取。根据IdP的配置,姓名属性可能由不同的声明名称表示,例如“name”,“displayName”或“fullName”。
要在易企办中检索姓名属性,您需要将身份令牌中的相应声明映射到易企办用户配置文件中的相应用户属性或字段。这个映射通常在易企办的管理中心的SAML配置过程中完成。通过映射姓名声明,易企办可以使用提取的值填充用户的姓名属性,从而实现个性化的显示和识别。
属性:电子邮件(Email):电子邮件属性表示用户的电子邮件地址。它作为一个唯一的标识符,通常用于用户沟通和识别的目的。与姓名属性类似,电子邮件属性可以从身份令牌的声明中提取。
要在易企办中检索电子邮件属性,您需要将身份令牌中的相应声明映射到易企办用户配置文件中的相应用户属性或字段。这个映射确保用户的电子邮件地址被捕获并与他们的易企办账户关联。这样可以实现无缝沟通、用户特定的通知,并基于电子邮件地址实现共享和协作等功能。
证书(*.crt):指用于在身份提供者(IdP)和易企办之间建立信任的公钥证书。该证书通常由IdP提供,并用于在SAML认证过程中加密和验证数字签名。
要获取易企办 SAML配置所需的证书(*.crt文件)内容,您可以按照以下一般步骤操作:
联系身份提供者:联系您的身份提供者的管理员或支持团队(您要与易企办集成以进行SAML认证的服务)。请求用于SAML集成的公钥证书。
获取证书:IdP通常会以“.crt”扩展名的文件形式提供证书。该文件包含公钥和其他相关信息。他们可能会将其作为文件附件、下载链接提供,或直接与您分享证书的内容。
提取证书内容:一旦您获得证书文件(.crt),您可以使用文本编辑器或证书管理工具打开它。证书文件包含编码数据,包括公钥和其他证书详细信息。复制证书文件的全部内容,包括“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
粘贴证书内容:在易企办的SAML配置页面上,找到需要证书信息的文本区域。将证书文件的内容粘贴到文本区域中。确保包括完整的证书内容,包括任何换行符或提供的附加信息。
私钥(*.pem):这是一个可选字段,用于增强SAML(安全断言标记语言)单点登录(SSO)体验。虽然在身份验证目的上不是强制性的,但私钥在实施高级功能(如单点注销)方面发挥着关键作用。
私钥通常以PEM文件格式存储,与公钥配合使用,用于在SAML认证过程中使易企办(服务提供者)和身份提供者(IdP)之间进行安全通信。它确保了两个实体之间交换的SAML响应的真实性和完整性。
虽然私钥在初始SAML认证中不是必需的,但在实施单点注销功能时变得相关。单点注销允许用户同时退出多个应用程序。通过利用私钥,易企办可以对注销请求进行签名并发送给IdP,从而启动所有关联应用程序的注销过程。
包含“私钥(*.pem)”使易企办管理员能够实施增强的安全功能,并为用户提供无缝的单点注销体验。然而,需要注意的是,如果不需要单点注销,则可以将私钥字段保留为空,而不会影响主要的SAML身份验证功能。
启用SAML登录方式
成功保存SAML配置后,找到“自定义登录方式”部分的SAML方法,并通过从更多操作菜单列表中点击启用按钮来启用它。
