配置单一登录身份验证 关注
单一登录 (SSO) 身份验证可提高安全性、简化登录流程,并使用户凭据管理更轻松。 建议在包括 Revizto 项目在内的所有企业资源中使用 SSO 身份验证。 SSO 配置是通过从您的身份提供商收集相应的 URL,然后通过 Revizto Workspace 添加身份验证方法来完成的。
必需权限
配置 SSO 身份验证需要现有身份提供商(Microsoft EntraID Azure、Okta、JumpCloud 等)的管理员访问权限以及 Revizto 许可证管理员访问权限。
您可以在 Revizto Workspace 的“工具”下的“许可证信息”页面查看您的许可证角色。 更多信息请参阅许可证中的角色。
在线搜索“将新的 SAML 应用添加到 <您的身份提供商> sso”以查找向 SSO 提供商添加集成的说明和要求。
访问身份验证方法
默认情况下,Revizto 使用 Revizto 账户身份验证服务,但可以通过 Revizto Workspace 配置 SSO 身份验证方法。 要编辑现有身份验证设置,请参阅编辑身份验证方法。
要访问身份验证方法:
- 登录 ws.revizto.com。
- 如果您是多个许可证的成员,请确保选择正确的许可证。
- 转到“工具”,然后在“许可证管理工具”下选择“用户管理”。 如果未看到“许可证管理工具”,请参阅必需权限。
- 单击工具栏上的“身份验证方法”,您将看到已配置的所有身份验证方法。
- 单击“添加身份验证方法”可创建新的身份验证方法。
配置身份验证方法
在访问身份验证方法之后,可以配置 Revizto 账户服务、Google Workspace 或 Azure、Okta、Jumpcloud 等 SAML 身份验证服务。 Google 和 SAML 身份验证都是 SSO 选项,您可以为不同的用户组设置多个身份验证方法。 Revizto 将使用您的身份提供商的会话超时设置,这样您可以在所有工具中保持一致的登录标准。
Google Workspace 身份验证:
- 在“创建身份验证方法”页面,为您的身份验证方法命名。 如果使用多个身份验证方法,我们建议使用具有描述性的名称。
- 在“身份验证服务”下拉列表中,选择“Google”。 这要求用户的企业电子邮件地址已在 Google Workspace 中注册。
- 如有需要,在“其他设置”下配置设置。 请参阅自动分配身份验证方法以了解更多信息。
- 单击“保存”。
标准 SAML 身份验证:
SAML 身份验证需要为您的 SSO 提供商创建一个 Revizto 集成,然后将该集成重新连接 Revizto。 Revizto 使用服务提供商实体 ID 和联合元数据 URL 来向您的身份提供商进行登录验证。
- 登录到您的 SSO 身份提供商,并将 Revizto 添加为新的应用或集成。
由于有许多不同的 SSO 身份提供商,请参阅您的身份提供商的文档以添加应用或集成。 - 从您的身份提供商处获取服务提供商实体 ID(也称为应用 ID)和联合元数据 URL。
如果您的身份提供商未生成服务提供商实体 ID,请参阅创建 Revizto 服务提供商实体 ID。 - 在新的标签页或浏览器窗口中,按照访问身份验证方法导航到 Revizto Workspace 的创建身份验证方法页面。
- 为您的身份验证方法命名。 如果使用多个身份验证方法,我们建议使用具有描述性的名称。
- 在“身份验证服务”下拉列表中,选择“SAML”。 然后选择“标准”。
- 在“服务提供商实体 ID”和“联合元数据 URL”文本框中输入您在步骤 2 中找到的信息。
- 如有需要,在“其他设置”下配置设置。 请参阅自动分配身份验证方法以了解更多信息。
- 单击“保存”。
自定义 SAML 身份验证:
自定义 SAML 工作流适用于不公开联合元数据 URL 或不自动共享登录和注销响应 URL 的 SSO 服务。 大多数 SSO 身份提供商应使用标准 SAML 设置。
- 登录到您的 SSO 身份提供商,并将 Revizto 添加为新的应用或集成。
由于有许多不同的 SSO 身份提供商,请在线搜索“将新的 SAML 应用添加到 <您的身份提供商> sso”,以获得向您的 SSO 提供商添加集成的准确说明。 - 从您的身份提供商处获取以下信息:
- 服务提供商实体 ID,也称为应用 ID。 如果您的身份提供商未生成提供商实体 ID,请参阅创建 Revizto 服务提供商实体 ID
- 身份提供商实体 ID
- 登录 URL
- 注销响应 URL
- 联合元数据 URL(如果其他字段已填写,则此项为可选)
- 公共 X.509 证书,这是用于验证身份提供商请求和响应的公钥,保存为 XML 文件。 从以下节点复制并粘贴 X.509 证书:EntityDescriptor/Signature/KeyInfo/X509Data/X509Certificate。
- 在 Revizto Workspace 的创建身份验证方法页面,为您的身份验证方法命名。 如果使用多个身份验证方法,我们建议使用具有描述性的名称。
- 在“身份验证服务”下拉列表中,选择“SAML”。
- 在“服务器设置”下,单击“自定义”。
- 在相应字段中输入步骤 2 中找到的信息。
- 如有需要,在“其他设置”下配置设置。 请参阅自动分配身份验证方法以了解更多信息。
- 单击“保存”。
如果您的身份提供商需要 Revizto URL 进行身份验证,请单击身份验证方法旁边的“信息”。 这将打开一个窗口,其中包含多个URL:
- 登录响应 URL、元数据 URL 和注销响应 URL。 您的身份提供商可能需要这些参数。
- 服务提供商实体 ID。 选择在不输入 Revizto 密码的情况下登录的用户需要该实体 ID 才能登录。 有关更多信息,请参阅使用单一登录身份验证方法进行登录。
自动分配身份验证方法
在创建或编辑身份验证方法时,可以配置自动分配身份验证方法。 自动分配的优势在于,每个许可证成员都会获得正确的身份验证方法,无论谁将其添加到许可证中。 这也减少了注册许可证成员所需的时间。
- 关联域
当属于列出的电子邮件域的用户添加到许可证时,他们会被分配此身份验证方法。 - 默认方法
未被自动分配身份验证方法的用户将被分配此方法。
建议为身份验证方法的自动分配配置以下规则:
- 将您公司的电子邮件域添加到所选单一登录身份验证方法的关联域列表中。 来自您公司域的所有新许可证成员都将被分配此身份验证方法。
- 将“Revizto 账户”设为默认身份验证方法。 所有不属于您公司域的新许可证成员都将被分配此身份验证方法。
要了解如何手动为 Revizto 用户分配新的身份验证方法,请参阅以下文章:
创建 Revizto 服务提供商实体 ID
要生成唯一的服务提供商实体 ID,您可以使用以下模式:
https://api.<地区>.revizto.com/entity/<许可证 ID>。
许可证地区如下:
- 澳大利亚 (ANZ):https://api.sydney.revizto.com
- 加拿大:https://api.canada.revizto.com
- 中国:https://api.shanghai.revizto.com
- 欧洲(爱尔兰):https://api.ireland.revizto.com
- 日本:https://api.tokyo.revizto.com
- 沙特阿拉伯 (KSA):https://api.ksa.revizto.com
- 北美(美国):https://api.virginia.revizto.com
- 南美(巴西):https://api.saopaulo.revizto.com
- 东南亚(新加坡):https://api.singapore.revizto.com
- 瑞士:https://api.zurich.revizto.com
- 阿拉伯联合酋长国 (UAE):https://api.dubai.revizto.com
- 英国:https://api.london.revizto.com
许可证 ID 是登录到许可证时 URL 中的唯一五位数字。 复制此数字时,请确认您已登录正确的许可证。
故障排除
问:当尝试登录 Revizto Workspace 时,收到以下错误:“身份验证错误。 请联系我们的技术支持”。
答:对于标准 SAML 身份验证:
- 联合元数据 URL 不正确。
对于自定义 SAML 身份验证:
- 身份验证方法设置中指定的 X.509 证书不正确。 配置身份验证方法时,请确保从以下节点复制 X.509 证书:EntityDescriptor/Signature/KeyInfo/X509Data/X509Certificate。
- 身份验证方法设置中指定的 X.509 证书已过期。 获取新的证书并将其添加到身份验证方法设置中。