配置单一登录身份验证 关注
单一登录 (SSO) 身份验证可提高安全性、简化登录流程,并使用户凭据管理更轻松。 建议在包括 Revizto 项目在内的所有企业资源中使用 SSO 身份验证。 SSO 配置是通过从您的身份提供商收集相应的 URL,然后通过 Revizto Workspace 添加身份验证方法来完成的。
必需权限
配置 SSO 身份验证需要拥有对现有身份提供商(Microsoft EntraID Azure、Okta、JumpCloud 等)的管理员访问权限,以及 Revizto 账户管理员或账户所有者角色。
您可以在 Revizto Workspace 的“工具”下的“账户详细信息”页面或“管理账户详细信息”页面查看您的账户角色。 更多信息请参阅许可证中的角色。
在线搜索“将新的 SAML 应用添加到 <您的身份提供商> sso”以查找向 SSO 提供商添加集成的说明和要求。
访问身份验证方法
默认情况下,Revizto 使用 Revizto 账户身份验证服务,但可以通过 Revizto Workspace 配置 SSO 身份验证方法。 要编辑现有身份验证设置,请参阅编辑身份验证方法。
要访问身份验证方法:
- 登录 ws.revizto.com。
- 如果您是多个账户的成员,请确保选择了正确的账户。
- 打开“工具”下拉菜单,选择“用户管理”。 如果没有看到“用户管理”,请参阅必需权限。
- 单击工具栏上的“身份验证方法”,您将看到已配置的所有身份验证方法。
- 如果需要,单击“添加身份验证方法”创建新的身份验证方法。
配置身份验证方法
在访问身份验证方法之后,可以配置 Revizto 账户服务、Google Workspace 或 Azure、Okta、Jumpcloud 等 SAML 身份验证服务。 Google 和 SAML 身份验证都是 SSO 选项,您可以为不同的用户组设置多个身份验证方法。 Revizto 将使用您的身份提供商的会话超时设置,这样您可以在所有工具中保持一致的登录标准。
Google Workspace 身份验证:
- 在“创建身份验证方法”页面,为您的身份验证方法命名。 如果使用多个身份验证方法,我们建议使用具有描述性的名称。
- 在“身份验证服务”下拉列表中,选择“Google”。 这要求用户的企业电子邮件地址已在 Google Workspace 中注册。
- 如有需要,在“其他设置”下配置设置。 请参阅自动分配身份验证方法以了解更多信息。
- 单击“保存”。
标准 SAML 身份验证:
SAML 身份验证需要为您的 SSO 提供商创建一个 Revizto 集成,然后将该集成重新连接 Revizto。 Revizto 使用服务提供商实体 ID 和联合元数据 URL 来向您的身份提供商进行登录验证。
- 登录到您的 SSO 身份提供商,并将 Revizto 添加为新的应用或集成。
由于有许多不同的 SSO 身份提供商,请参阅您的身份提供商的文档以添加应用或集成。 - 从您的身份提供商处获取服务提供商实体 ID(也称为应用 ID)和联合元数据 URL。
如果您的身份提供商未生成服务提供商实体 ID,请参阅创建 Revizto 服务提供商实体 ID。 - 在新的标签页或浏览器窗口中,按照访问身份验证方法导航到 Revizto Workspace 的创建身份验证方法页面。
- 为您的身份验证方法命名。 如果使用多个身份验证方法,我们建议使用具有描述性的名称。
- 在“身份验证服务”下拉列表中,选择“SAML”。 然后选择“标准”。
- 在“服务提供商实体 ID”和“联合元数据 URL”文本框中输入您在步骤 2 中找到的信息。
- 如有需要,在“其他设置”下配置设置。 请参阅自动分配身份验证方法以了解更多信息。
- 单击“保存”。
自定义 SAML 身份验证:
自定义 SAML 工作流适用于不公开联合元数据 URL 或不自动共享登录和注销响应 URL 的 SSO 服务。 大多数 SSO 身份提供商应使用标准 SAML 设置。
- 登录到您的 SSO 身份提供商,并将 Revizto 添加为新的应用或集成。
由于有许多不同的 SSO 身份提供商,请在线搜索“将新的 SAML 应用添加到 <您的身份提供商> sso”,以获得向您的 SSO 提供商添加集成的准确说明。 - 从您的身份提供商处获取以下信息:
- 服务提供商实体 ID,也称为应用 ID。 如果您的身份提供商未生成提供商实体 ID,请参阅创建 Revizto 服务提供商实体 ID
- 身份提供商实体 ID
- 登录 URL
- 注销响应 URL
- 联合元数据 URL(如果其他字段已填写,则此项为可选)
- 公共 X.509 证书,这是用于验证身份提供商请求和响应的公钥,保存为 XML 文件。 从以下节点复制并粘贴 X.509 证书:EntityDescriptor/Signature/KeyInfo/X509Data/X509Certificate。
- 在 Revizto Workspace 的创建身份验证方法页面,为您的身份验证方法命名。 如果使用多个身份验证方法,我们建议使用具有描述性的名称。
- 在“身份验证服务”下拉列表中,选择“SAML”。
- 在“服务器设置”下,单击“自定义”。
- 在相应字段中输入步骤 2 中找到的信息。
- 如有需要,在“其他设置”下配置设置。 请参阅自动分配身份验证方法以了解更多信息。
- 单击“保存”。
如果您的身份提供商需要 Revizto URL 进行身份验证,请单击身份验证方法旁边的“信息”。 这将打开一个窗口,其中包含多个URL:
- 登录响应 URL、元数据 URL 和注销响应 URL。 您的身份提供商可能需要这些参数。
- 服务提供商实体 ID。 选择在不输入 Revizto 密码的情况下登录的用户需要该实体 ID 才能登录。 有关更多信息,请参阅使用单一登录身份验证方法进行登录。
自动分配身份验证方法
在创建或编辑身份验证方法时,可以配置自动分配身份验证方法。 自动分配的优势是每个账户成员都会立即获得正确的身份验证方法。 这也减少了注册新账户成员所需的时间。
- 关联域
当属于列出的电子邮件域的用户添加到账户时,他们会被分配此身份验证方法。 - 默认方法
未通过关联域分配身份验证方法的用户将被分配此方法。
我们建议为身份验证方法的自动分配配置以下规则:
- 将您公司的电子邮件域添加到所选单一登录身份验证方法的关联域列表中。 来自您公司域的所有新账户成员都将被分配此身份验证方法。
- 将“Revizto 账户”设为默认身份验证方法。 不属于您公司域的所有新账户成员都将被分配此身份验证方法。
有关更多详细信息,请参阅为用户分配身份验证方法。
创建 Revizto 服务提供商实体 ID
要生成唯一的服务提供商实体 ID,您可以使用以下模式:
https://api.<地区>.revizto.com/entity/<许可证 ID>。
许可证地区如下:
- 澳大利亚 (ANZ):https://api.sydney.revizto.com
- 加拿大:https://api.canada.revizto.com
- 中国:https://api.shanghai.revizto.com
- 欧洲(爱尔兰):https://api.ireland.revizto.com
- 日本:https://api.tokyo.revizto.com
- 沙特阿拉伯 (KSA):https://api.ksa.revizto.com
- 北美(美国):https://api.virginia.revizto.com
- 南美(巴西):https://api.saopaulo.revizto.com
- 东南亚(新加坡):https://api.singapore.revizto.com
- 瑞士:https://api.zurich.revizto.com
- 阿拉伯联合酋长国 (UAE):https://api.dubai.revizto.com
- 英国:https://api.london.revizto.com
许可证 ID 是登录到许可证时 URL 中的唯一五位数字。 复制此数字时,请确认您已登录正确的许可证。
故障排除
问:当尝试登录 Revizto Workspace 时,收到以下错误:“身份验证错误。 请联系我们的技术支持”。
答:对于标准 SAML 身份验证:
- 联合元数据 URL 不正确。
对于自定义 SAML 身份验证:
- 身份验证方法设置中指定的 X.509 证书不正确。 配置身份验证方法时,请确保从以下节点复制 X.509 证书:EntityDescriptor/Signature/KeyInfo/X509Data/X509Certificate。
- 身份验证方法设置中指定的 X.509 证书已过期。 获取新的证书并将其添加到身份验证方法设置中。