为您的身份认证服务商配置 Spotnana 单点登录（SSO）

目录

• 为您的身份认证服务商配置 Spotnana 单点登录（SSO）
  • 简介
  • 前提条件
    • SAML
    • OpenID Connect
    • Google 标准
  • 在 Spotnana 在线预订系统中的配置步骤
    • SAML
    • OpenID Connect
    • Google 标准
  • 测试 
    • 故障排查
  • 注意事项
    • SAML
    • OpenID Connect

简介

本指南将带您完成如何将 Spotnana 与您的身份认证服务商（IdP）对接，实现单点登录（SSO）。配置完成后，您的用户无需再输入 Spotnana 的专属账号和密码，而是通过 SSO 直接访问 Spotnana。要启用 SSO，需要一次性完成以下几个步骤，内容分为三大部分：

• 前期准备 - 说明需要提前从 IdP 获取哪些信息。SAML、OpenID Connect 和 Google 标准（仅限 Google）分别有独立的说明。

• 在 Spotnana 在线预订系统（OBT）中的配置步骤 - 详细介绍如何将 Spotnana 与您的 IdP 对接。SAML、OpenID Connect 和 Google 标准（仅限 Google）分别有独立的说明。

• 测试 - 说明如何测试 Spotnana 与 IdP 的连接，并确保配置无误。

前提条件

SAML

您的元数据可以以 XML 文本或元数据文件的 URL 形式提供。 请在开始配置前准备好相关信息。 

• 如果您使用 元数据 XML，需要在 SAML XML 元数据 和 SAML 邮箱属性 在 OBT 配置过程中（在 填写公司信息 页面）提供给我们。 邮箱属性需要与用户的邮箱地址对应。

• 如果您使用 元数据文档 URL，需要在 Endpoint URL （即元数据文件的存放地址）和 SAML 邮箱属性 在 OBT 配置过程中（在 填写公司信息 页面）提供给我们。该邮箱属性同样需要与用户邮箱地址一致。

OpenID Connect

您需要向 Spotnana 提供以下信息：

• Client ID - 您的身份认证服务商分配给您账号的公开标识。

• Client Secret - 仅您的身份认证服务商和您知道的私密密钥，用于用户身份验证。

• 属性请求方式（GET 或 POST）- 用于获取用户信息的 HTTP 方法。

• Issuer URL - 用于接收认证请求的 URL。

• OpenID Connect 邮箱属性 - 用于识别每位用户的属性，该属性应与用户的邮箱地址一致。

Google 标准

该配置方式无需前期准备。

在 Spotnana 在线预订系统中的配置步骤

SAML

要开始配置 SSO 连接，请先登录 OBT，点击 公司 ，在 项目 菜单中展开 配置 （左侧菜单），选择 集成。然后点击 SSO 标签页，点击 连接 ，在 SAML 选项旁边。 

1. 此时会弹出 在您的 IdP 中配置 SAML 页面。页面会显示两个值： ACS/Reply URL 和 Entity ID， 您可以将这两个值复制到剪贴板，再粘贴到 IdP 的对应位置。完成并保存后，点击 下一步。 选择 SAML 源 页面会弹出。  

2. 请选择您的 SAML 元数据文档来源，可以选择 元数据 XML 或 元数据文档 Endpoint URL。 

   1. 如果您选择了 元数据 XML：

      • 系统会提示您输入来自 IdP 的 XML 数据，请将 XML 内容复制粘贴到对话框中。

        • 注意： 请确保您的 XML 中包含以下内容：

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          如果您无法直接编辑 XML，请确保在 IdP 设置中启用 要求 IDP 重定向 URL。

      • 系统会提示您输入 SAML 邮箱属性 ，填写后点击 连接即可。 

   2. 如果您选择了 元数据文档 Endpoint URL：

      • 请在 Endpoint URL 栏填写元数据文档的地址。

      • 在相关栏输入您的 SAML 邮箱属性 。

3. 填写完成后点击 连接 即可。

OpenID Connect

要开始配置 SSO 连接，请先登录 OBT，点击 公司 ，在 项目 菜单中展开 配置 （左侧菜单），选择 集成。然后点击 SSO 标签页，点击 连接 ，在 OpenID Connect 选项旁边。 

1. 请填写以下字段：

   • 属性请求方式 （GET 或 POST）。

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID Connect 邮箱属性 

2. 填写完成后点击 连接 即可。

Google 标准

要开始配置 SSO 连接，请先登录 OBT，点击 公司 ，在 项目 菜单中展开 配置 （左侧菜单），选择 集成。然后点击 SSO 标签页，点击 连接 ，在 Google 标准 选项旁边。

测试 

Spotnana 与 IdP 配置完成后，建议您和您的用户都测试一下 SSO 是否能正常使用。测试时会提示您按以下步骤操作： 

1. 退出 Spotnana 账号。

2. 进入登录页面。

3. 选择 SSO 登录方式，系统会自动跳转到您的 IdP 登录页面。

4. 输入您在 IdP 的账号和密码，验证通过后会自动跳转回 Spotnana 并完成登录。

注意： 如果部分用户 SSO 跳转未生效，他们仍然可以用 Spotnana 的账号密码登录。

如果您在 Spotnana 修改了 SSO 相关设置，系统会重新要求您走一遍测试流程。 

故障排查

如果公司所有用户在测试时都遇到问题，请尝试以下方法：

• 请检查所有连接信息是否正确填写到了 Spotnana。

• 确认您的身份认证服务商（IdP）配置无误且可以正常访问。

如果只有个别用户遇到问题，通常是因为这些用户还没有在 Spotnana 或 IdP 系统中创建账号。

注意事项

SAML

• 标识符： 我们不支持在多租户应用中用于用户跳转到 IdP 的标识符。

• 自动登出： 当用户在 IdP 退出登录时，我们会自动将其从 Spotnana 退出。

• IdP 发起的 SAML 登录： 我们仅支持 SP 发起的 SAML 断言（行业最佳实践）。

• SAML 签名与加密： 我们不支持对 SAML 请求进行签名，也不支持强制要求加密 SAML 断言。

OpenID Connect

• 标识符： 我们不支持在多租户应用中用于用户跳转到 IdP 的标识符。

• 获取 OpenID Connect 端点： 我们仅支持 通过 Issuer URL 自动填充 ，不支持 手动输入 端点信息。系统会自动填充以下内容：授权端点、令牌端点、用户信息端点和 jwks_uri。