SSO 是每個企業評估計分表上的前三大核取項目。而在大多數平台上,啟用它意味著提交支援工單、安排與解決方案工程師通話,並等待 3-5 個工作天讓某人代您切換開關。
企業 IT 團隊不想等待。他們想要打開設定頁面、貼上 metadata URL、測試連線,然後繼續前進。這就是 JieGou 自助式 SSO 設定所做的事。
7 個 identity provider、2 種 protocol
JieGou 開箱即支援 7 種 identity provider 預設:
| Provider | Protocol |
|---|---|
| Okta | SAML 2.0、OIDC |
| Azure AD (Entra ID) | SAML 2.0、OIDC |
| Google Workspace | SAML 2.0、OIDC |
| OneLogin | SAML 2.0、OIDC |
| Auth0 | SAML 2.0、OIDC |
| Ping Identity | SAML 2.0、OIDC |
| Custom Provider | SAML 2.0、OIDC |
Custom Provider 選項適用於任何符合 SAML 2.0 或 OIDC 標準的 identity provider。如果您的 IdP 支援其中一種 protocol,它就能與 JieGou 搭配使用。
Protocol 細節
SAML 2.0
輸入 metadata URL,JieGou 會自動擷取 XML 文件,自動提取 entity ID、SSO URL 和 X.509 憑證。無需手動複製貼上憑證。
設定選項:
- 4 種 Name ID 格式 — email、persistent、transient、unspecified
- Auth request 簽署 — 為需要它的 provider 簽署 SAML 驗證請求
- 憑證指紋 — IdP 簽署憑證的 SHA-256 指紋驗證
OpenID Connect (OIDC)
輸入 discovery URL,JieGou 會自動將其標準化——必要時附加 /.well-known/openid-configuration——然後擷取 discovery 文件以自動填充端點。
設定選項:
- Client ID + 加密的 client secret — client secret 在儲存前透過 key-vault 加密
- 可設定的 scope — 預設:
openid profile email groups - 3 種 token endpoint 驗證方法 —
client_secret_basic、client_secret_post、private_key_jwt
設定流程
設定需要 9 個步驟:
- 導航到帳戶設定 — SSO 設定位於您帳戶的安全設定下
- 選擇 protocol — SAML 2.0 或 OIDC
- 選擇 provider 預設 — 從 7 個預設中選擇,或選擇 Custom
- 輸入電子郵件網域 — 在所有帳戶間強制執行唯一性,因此沒有兩個組織可以宣告相同的網域
- 填寫 provider 特定欄位 — SAML 的 metadata URL、OIDC 的 discovery URL,以及任何 provider 特定設定
- 設定 provisioning — 切換自動 provisioning 開啟或關閉,為新使用者設定預設角色
- 設定群組到角色映射 — 將 IdP 群組映射到 JieGou 角色
- 儲存設定 — 在持久化之前驗證所有欄位
- 測試連線 — 執行診斷、檢視結果,然後啟用
步驟 1-8 是設定。步驟 9 是您在上線之前驗證一切是否正常運作的地方。
使用診斷功能測試連線
測試按鈕會針對您的 IdP 設定執行完整的診斷套件。只需點擊一次,您就能看到每項檢查的通過/失敗指標,並以顏色編碼顯示結果。
SAML 診斷:
- Metadata 文件成功擷取?
- SSO URL 可連接?
- X.509 憑證有效且未過期?
OIDC 診斷:
- Discovery 文件成功擷取?
- Token endpoint 可連接?
- 在 token 回應中找到群組宣告?
每項檢查都會顯示明確的通過或失敗。如果出現問題,您會確切看到哪個步驟失敗了——而不是一個籠統的「SSO 設定錯誤」訊息。測試結果會被儲存供您的稽核追蹤使用,因此您可以記錄連線何時驗證以及由誰驗證。
群組到角色映射
JieGou 有一個 6 角色階層:Owner、Admin、Dept Lead、Member、Auditor 和 Viewer。SSO 群組到角色映射讓您可以直接將 IdP 的群組結構連接到這些角色。
映射運作方式如下:
| IdP 群組 | JieGou 角色 |
|---|---|
engineering-leads | Dept Lead |
engineering | Member |
finance-auditors | Auditor |
executives | Admin |
contractors | Viewer |
您也可以從群組指派部門。如果您的 IdP 有像 dept-engineering 或 dept-marketing 這樣的群組,將它們映射到 JieGou 部門,這樣使用者就會自動進入正確的組織情境。
沒有匹配群組的使用者會獲得預設角色——通常是 Member。這意味著每個 SSO 使用者都能獲得存取權,即使您的 IdP 群組結構沒有完全對應 JieGou 的角色模型。
Just-in-Time provisioning
當 JIT (Just-in-Time) provisioning 啟用時,新使用者不需要單獨的邀請。以下是發生的事情:
- 使用者透過 SSO 進行驗證
- 他們的電子郵件網域與您設定的 SSO 網域匹配
- JieGou 使用設定的預設角色自動建立他們的帳戶成員資格
- 群組到角色映射生效,如果找到匹配則升級或指定角色
- 套用來自群組映射的部門指派
- 使用者被導引通過入職流程
不需要管理員操作。不需要管理邀請連結。新員工在第一天登入,他們的存取權就根據他們在 IdP 中所屬的群組進行設定。
登入流程
從使用者的角度來看,SSO 登入需要 3 次點擊:
- 在登入頁面點擊 「使用 SSO 登入」
- 輸入他們的電子郵件地址
- 系統執行 網域查詢 — 一個公開的、未經驗證的端點,檢查電子郵件網域是否設定了 SSO provider
- 如果找到 provider,會出現一個 「使用 [Provider 名稱] 登入」 按鈕
- 點擊它,透過
signInWithPopup使用 IdP 進行驗證,然後進入 JieGou
網域查詢端點刻意設為公開。它不會透露特定電子郵件地址是否存在——只會透露網域是否設定了 SSO。這是大多數 SSO 實作用來將使用者路由到正確 IdP 的標準模式。
安全性
網域唯一性 — 每個電子郵件網域只能由一個帳戶宣告。這可防止惡意帳戶為他們不擁有的網域設定 SSO 並攔截驗證流程。
稽核記錄 — 每個設定變更都會被稽核記錄:誰在何時變更了什麼,以及變更前後的值。SSO 的設定、修改、測試、啟用和停用都會被追蹤。
僅限管理員存取 — SSO 設定需要 account:admin 權限。一般使用者可以透過 SSO 進行驗證,但無法檢視或修改設定。
加密的 secret — OIDC client secret 在寫入資料庫之前透過 key-vault 加密。它們僅在需要進行 token 交換時在記憶體中解密。
可用性
自助式 SSO/SAML 設定適用於 Enterprise 方案。包含所有 7 個 identity provider 預設、SAML 2.0 和 OIDC 支援、群組到角色映射、JIT provisioning、連線診斷,以及完整的稽核記錄。了解更多企業功能 或 開始試用。