SSO 是每个企业评估计分表上的前三大核取项目。而在大多数平台上,启用它意味着提交支援工单、安排与解决方案工程师通话,并等待 3-5 个工作天让某人代您切换开关。
企业 IT 团队不想等待。他们想要打开设定页面、贴上 metadata URL、测试连线,然后继续前进。这就是 JieGou 自助式 SSO 设定所做的事。
7 个 identity provider、2 种 protocol
JieGou 开箱即支援 7 种 identity provider 预设:
| Provider | Protocol |
|---|---|
| Okta | SAML 2.0、OIDC |
| Azure AD (Entra ID) | SAML 2.0、OIDC |
| Google Workspace | SAML 2.0、OIDC |
| OneLogin | SAML 2.0、OIDC |
| Auth0 | SAML 2.0、OIDC |
| Ping Identity | SAML 2.0、OIDC |
| Custom Provider | SAML 2.0、OIDC |
Custom Provider 选项适用于任何符合 SAML 2.0 或 OIDC 标准的 identity provider。如果您的 IdP 支援其中一种 protocol,它就能与 JieGou 搭配使用。
Protocol 细节
SAML 2.0
输入 metadata URL,JieGou 会自动撷取 XML 文件,自动提取 entity ID、SSO URL 和 X.509 凭证。无需手动复制贴上凭证。
设定选项:
- 4 种 Name ID 格式 — email、persistent、transient、unspecified
- Auth request 签署 — 为需要它的 provider 签署 SAML 验证请求
- 凭证指纹 — IdP 签署凭证的 SHA-256 指纹验证
OpenID Connect (OIDC)
输入 discovery URL,JieGou 会自动将其标准化——必要时附加 /.well-known/openid-configuration——然后撷取 discovery 文件以自动填充端点。
设定选项:
- Client ID + 加密的 client secret — client secret 在储存前透过 key-vault 加密
- 可设定的 scope — 预设:
openid profile email groups - 3 种 token endpoint 验证方法 —
client_secret_basic、client_secret_post、private_key_jwt
设定流程
设定需要 9 个步骤:
- 导航到帐户设定 — SSO 设定位于您帐户的安全设定下
- 选择 protocol — SAML 2.0 或 OIDC
- 选择 provider 预设 — 从 7 个预设中选择,或选择 Custom
- 输入电子邮件网域 — 在所有帐户间强制执行唯一性,因此没有两个组织可以宣告相同的网域
- 填写 provider 特定栏位 — SAML 的 metadata URL、OIDC 的 discovery URL,以及任何 provider 特定设定
- 设定 provisioning — 切换自动 provisioning 开启或关闭,为新使用者设定预设角色
- 设定群组到角色映射 — 将 IdP 群组映射到 JieGou 角色
- 储存设定 — 在持久化之前验证所有栏位
- 测试连线 — 执行诊断、检视结果,然后启用
步骤 1-8 是设定。步骤 9 是您在上线之前验证一切是否正常运作的地方。
使用诊断功能测试连线
测试按钮会针对您的 IdP 设定执行完整的诊断套件。只需点击一次,您就能看到每项检查的通过/失败指标,并以颜色编码显示结果。
SAML 诊断:
- Metadata 文件成功撷取?
- SSO URL 可连接?
- X.509 凭证有效且未过期?
OIDC 诊断:
- Discovery 文件成功撷取?
- Token endpoint 可连接?
- 在 token 回应中找到群组宣告?
每项检查都会显示明确的通过或失败。如果出现问题,您会确切看到哪个步骤失败了——而不是一个笼统的「SSO 设定错误」讯息。测试结果会被储存供您的稽核追踪使用,因此您可以记录连线何时验证以及由谁验证。
群组到角色映射
JieGou 有一个 6 角色阶层:Owner、Admin、Dept Lead、Member、Auditor 和 Viewer。SSO 群组到角色映射让您可以直接将 IdP 的群组结构连接到这些角色。
映射运作方式如下:
| IdP 群组 | JieGou 角色 |
|---|---|
engineering-leads | Dept Lead |
engineering | Member |
finance-auditors | Auditor |
executives | Admin |
contractors | Viewer |
您也可以从群组指派部门。如果您的 IdP 有像 dept-engineering 或 dept-marketing 这样的群组,将它们映射到 JieGou 部门,这样使用者就会自动进入正确的组织情境。
没有匹配群组的使用者会获得预设角色——通常是 Member。这意味着每个 SSO 使用者都能获得存取权,即使您的 IdP 群组结构没有完全对应 JieGou 的角色模型。
Just-in-Time provisioning
当 JIT (Just-in-Time) provisioning 启用时,新使用者不需要单独的邀请。以下是发生的事情:
- 使用者透过 SSO 进行验证
- 他们的电子邮件网域与您设定的 SSO 网域匹配
- JieGou 使用设定的预设角色自动建立他们的帐户成员资格
- 群组到角色映射生效,如果找到匹配则升级或指定角色
- 套用来自群组映射的部门指派
- 使用者被导引通过入职流程
不需要管理员操作。不需要管理邀请连结。新员工在第一天登入,他们的存取权就根据他们在 IdP 中所属的群组进行设定。
登入流程
从使用者的角度来看,SSO 登入需要 3 次点击:
- 在登入页面点击 「使用 SSO 登入」
- 输入他们的电子邮件地址
- 系统执行 网域查询 — 一个公开的、未经验证的端点,检查电子邮件网域是否设定了 SSO provider
- 如果找到 provider,会出现一个 「使用 [Provider 名称] 登入」 按钮
- 点击它,透过
signInWithPopup使用 IdP 进行验证,然后进入 JieGou
网域查询端点刻意设为公开。它不会透露特定电子邮件地址是否存在——只会透露网域是否设定了 SSO。这是大多数 SSO 实作用来将使用者路由到正确 IdP 的标准模式。
安全性
网域唯一性 — 每个电子邮件网域只能由一个帐户宣告。这可防止恶意帐户为他们不拥有的网域设定 SSO 并拦截验证流程。
稽核记录 — 每个设定变更都会被稽核记录:谁在何时变更了什么,以及变更前后的值。SSO 的设定、修改、测试、启用和停用都会被追踪。
仅限管理员存取 — SSO 设定需要 account:admin 权限。一般使用者可以透过 SSO 进行验证,但无法检视或修改设定。
加密的 secret — OIDC client secret 在写入资料库之前透过 key-vault 加密。它们仅在需要进行 token 交换时在记忆体中解密。
可用性
自助式 SSO/SAML 设定适用于 Enterprise 方案。包含所有 7 个 identity provider 预设、SAML 2.0 和 OIDC 支援、群组到角色映射、JIT provisioning、连线诊断,以及完整的稽核记录。了解更多企业功能 或 开始试用。