ADSSP-单点登录SSO功能介绍及基本实现原理
1.产品从6114Build开始,对于单点登录功能,如果配置的application也支持OpenID Connect或OAuth协议,产品中支持自定义配置该应用的单点登录,不再限于SAML2.0一种协议。
2.如果用户配置的应用是附件中列出的Supported Applications中的预定义应用,可直接按照步骤进行配置;
如果没有列出想配置的应用,比如是公司中自定义的应用,需要用户自定义配置。
3.使用ADSelfService Plus产品,用户可以通过两种方式使用SSO登录到应用程序或服务:
(1)身份提供商(IdP)发起的SSO;
(2)服务提供商(SP)发起的SSO;
【这里,IDP指的是ADSelfService Plus,SP指的是云应用或服务。】
4.要启动SSO,用户可以从IdP开始或SP开始。
(1)在IdP发起的SSO中,用户登录到ADSelfService Plus页面,然后单击应用程序。应用程序将在新选项卡中打开,用户将自动登录。
(2)在SP启动的SSO中,当用户单击应用程序链接时,他们将被带到SP的登录页。输入用户名或选择如SAML SSO选项后,SP会将用户重定向到IdP。然后,用户需要登录到IdP才能访问SP。
对于某些应用程序,ADSelfService Plus仅支持其中一个流。
有些支持两个流,以Salesforce举例,登录ADSelfService Plus产品后可直接在Application标签下进入Salesforce界面,或在Salesforce登录界面可选择ADSelfService Plus身份认证登录。
附件是关于ADSelfService Plus产品中SSO功能及配置的一些介绍,或者参考此链接。
注:摘自郭婷婷之前写的知识库,加了截图,由于无法编辑分享,故重新克隆了一份出来。
Related Articles
ADSSP-启用SDP Saml SSO时提示“认证失败”或“无权限”
当AD用户在ServiceDesk Plus登录界面选择通过SAML SSO(IdP:ADSelfService Plus)认证: 在界面跳转时提示无权限查看内容(即使看到URL链接已成功跳转到ADSelfService Plus产品): 或身份认证界面跳转失败提示SAML认证失败: 怎么解决? 解决办法: 在ADSelfService Plus中链接账户属性查看: ->如果选择的源属性是mail,改为sAMAccountName(上面的报错截图1的情况); ...ADSSP-安装Gina报错
1.Web端推送GINA到客户端PC,出现报错Couldn't connect to \\EVEZK-22006968\ADMIN$?????和Couldn't start Remote Service????? 解决办法:第一种报错出现是因为防火墙设置,经检查当445端口开启后,安装没问题,且前提是保证产品配置/运行产品服务的那个domain admin账户有所有客户端的admin share access,且配置的Service account有权限; 第二种报错是由于客户端,Remote ...ADSSP-CAPTCHA (验证字符图片)的组合、长度可以设置吗?可以取消这个字符验证吗?
ADSelfService Plus在保护企业用户密码安全的同时也保证了友好的用户体验。 1.图片字符验证码可以取消或者隐藏吗? 答:可以取消/隐藏。 -->取消第一步(登录页面): 可在如下地方设置: -->取消中间步(身份验证界面:第二步/第三步/...:): 可在如下地方设置(可以部分选择,可以选择全部隐藏)): -->取消最后一步: 可在如下地方设置: 2.可以设置成4位吗,6位有点长? 答:4位长度会影响到企业密码安全,目前产品设计的是6位,不可更改。 ...ADSSP-报表中交付状态的一列为“Connection reset”
如下图中的“交付状态”: 1.手机号码无效等其他状态比较容易理解; 2.“Connection reset”:与SMTP服务器的连接重置了。 (这封通知邮件可能没有发送出去,如果下一次的计划还是这样,即发送失败了,那需要管理员查看是不是SMTP服务器设置了发送电子邮件的限制。)ADSSP-手机App端可以取消‘登录’选项吗?只保留密码重置和账户解锁可以吗?
1.可以取消‘登录’选项吗?只保留密码重置和账户解锁可以吗? 答:可以。密码重置、账户解锁和修改密码三项至少保留一项(一项都不保留没使用意义)。 2.身份验证时可以改‘手机’为‘企业微信’吗? 答:可以。请尝试在如下界面更改中文内容;如更改后不生效,可以联系我们或者自行替换掉CN_Properties文件中‘手机’两个字的编码。 3.顶层漂浮广告可以设置去掉吗?如下图。 答:可以。如果您确认没有一种MFA与ADSSP产品的移动端App有关,您可通过以下方式去掉: ...