配置單一登入

步驟

1. 前往 Administration → End User Management → Logon Methods。
2. 在Single Sign-On部分，點選切換按鈕以啟用 SSO。
3. 點選新增以建立 SSO 設定檔。
4. 配置 SSO 的一般資訊。
   1. 指定一個 SSO 配置檔名稱。
   2. 請指定一個在您網站上全域唯一的識別碼。
      終端使用者主控台 URL 已生成。

      如果您因為與其他識別碼衝突而必須更改唯一識別碼，請確保您也在您的身份提供者配置中進行更改。
5. 選擇當前配置檔適用的網域：
   • All domains：將此設定檔套用到所有網域。

     注意 您只能建立一個適用於所有網域的設定檔。

   • Specified domains：將此設定檔應用於指定的網域。
     從Available窗格中選擇網域，然後點選Add >將它們添加到Selected窗格。
6. 完成 SSO 的身份提供者配置。
   1. 從Identity provider下拉清單中選擇您的身份提供者。
   2. 指定您身份提供者的登入和登出網址。

      注意 請使用從 AD FS、Microsoft Entra ID 或 Okta 配置中收集的登錄 URL。 登出 URL 會將您登出，並終止當前的身份提供者登入會話。

   3. （僅適用於 Okta）點選Download Logoff Certificate 以取得要上傳到您聯盟伺服器的憑證檔案。
   4. （可選）啟用簽章驗證。

      注意 在單一登入 (SSO) 過程中，簽章會從身份提供者伺服器返回。為了避免攻擊者偽造登入，必須將簽章與您從身份提供者獲得的憑證檔案進行檢查。

      1. 點選Signature validation切換按鈕。
      2. 定位您從 AD FS、Microsoft Entra ID 或 Okta 配置下載的憑證檔案，並上傳以進行簽章驗證。
   5. 根據您為 AD FS、Microsoft Entra ID 或 Okta 配置的聲明來指定身份聲明類型。例如，如果您使用 電子郵件 作為聲明名稱，請輸入 電子郵件。
   6. （可選）啟用按群組管理單一登入（SSO）。

      注意 如果您啟用此功能，只有在指定群組中具有有效電子郵件地址的最終使用者才能通過 SSO 登錄到最終使用者控制台：

      1. 點選 群組允許清單 切換按鈕。
      2. 根據您為 AD FS、Microsoft Entra ID 或 Okta 配置的群組宣告來指定群組宣告類型。例如，如果您使用 euc_group 作為群組屬性名稱，請輸入 euc_group。
      3. 根據您為 AD FS、Microsoft Entra ID 或 Okta 配置的群組聲明來指定群組聲明值。如果您的身份提供者是 AD FS 或 Okta，請輸入群組名稱；如果您的身份提供者是 Microsoft Entra ID，請輸入群組 ID。
7. 點選儲存以儲存設定檔。
8. 點選儲存以儲存 SSO 設定。
   一旦您完成配置，最終使用者可以使用在步驟4中生成的最終使用者控制台URL來登入，從身份提供者啟動SSO到最終使用者控制台。在步驟6中指定的身份聲明類型和群組聲明類型用於從您的身份提供者獲取映射聲明值。在這種情況下，雲端電子郵件閘道保護 獲取登入帳戶的電子郵件地址和使用者群組，以驗證最終使用者的身份。一旦驗證成功，最終使用者將成功登入最終使用者控制台。