Zoho 中的单点登录
什么是 SSO?
在了解什么是单点登录之前,我们必须了解传统身份验证的工作原理。
- 服务将为用户提供一个登录页面,用户必须在其中提交一组登录凭据,即用户名和密码。某些服务可能会要求提供更多身份验证信息,如动态口令。
- 用户提交的凭据将根据服务数据库中存在的凭据进行验证。
传统身份验证非常直观;所有一切都在服务中进行管理,这为用户提供了一种简单的身份验证方法。但是,如果用户需要为每个应用使用不同的登录凭据访问多个应用,则用户很快就会感到麻烦。用户必须记住多个凭据并遵守不同的密码策略。
单点登录功能允许您通过一次提交用户凭据来访问 Zoho 和第三方应用。用户不必记住他们需要访问的每个应用的大量用户名和密码。Zoho 使用 SAML 通过第三方应用实现 SSO。
什么是 SAML?
SAML 代表安全声明标记语言。它是联合授权的行业标准规范。联合授权使用户无需传输或存储用户凭据即可访问应用。
SSO 用户流
角色
- 身份提供者 (IdP)
- 身份提供者维护用户凭据的目录。
- IdP 对用户进行身份验证,并将有关用户的授权信息发送给服务提供者。
- 服务提供者 (SP)
- 托管用户服务或应用的网站。
- 服务提供者依靠 IdP 来验证用户。
IdP 启动流
- 用户想要访问 Zoho 服务。
- 用户登录其 IdP 并选择 Zoho 应用。
- IdP 将创建已签名的 SAML 断言响应,并将其发送至 Zoho 的 ACS(断言使用者服务)URL 端点。
- Zoho 将验证 SAML 断言响应。验证成功后,用户将被授予访问其授权的任何 Zoho 服务的权限。
注意:ACS URL - 此 URL 是 Zoho 目标 URL,其中 SAML 响应应由 IdP 发送。
注意:实体 ID - 发出 SAML 请求 Zoho.com.cn 的颁发商
SP 初始化流
- 用户希望登录到 Zoho 服务。
- Zoho 生成 SAML 验证请求并通过 HTTP-Redirect 绑定将其发送至 IDP。
- IDP 将对用户进行身份验证并形成已签名的 SAML 断言响应,该响应将发送至 Zoho 的 ACS URL 端点。
- Zoho 将验证 SAML 断言响应。如果用户被授权使用 Zoho 服务,则他们将被授予访问权限。
配置 SSO
通过 SAML 的 SSO 涉及到 Zoho 信任您的 IdP 提供的断言,以向您的用户授予访问权限。 此信任必须通过在您的 IdP 和 Zoho 配置 SAML 来建立。
- 以管理员身份登录您的 IdP,并获取登录 URL、退出 URL 和 base 64 编码的证书。
- 以管理员身份登录 Zoho,然后在 Preferences(首选项)下的 SAML Authentication(SAML 身份验证)选项卡中提交这些详细信息。
- 保存配置后,您将能够从 Zoho 下载元数据文件。 元数据文件将包含 ACS URL、服务提供者退出 URL、实体 ID 和 Zoho 证书(如果启用了退出响应)。
- 将此元数据文件上传到您的 IdP 以完成配置。