在 Zoho Accounts 中配置 SAML
在使用 Zoho Accounts 配置 SAML 之前,您需要一个 Zoho 的机构帐户。您可以通过注册以下业务应用来创建机构帐户:Zoho One、Zoho Mail、Zoho Docs 和 Zoho Vault。
- 登录您的机构管理员帐户。
- 在 Preferences(首选项)选项卡下,单击 SAML Authentication(SAML 身份验证)。
- 单击 Setup Now(立即设置)。
- 输入所需的详细信息
- Login URL(登录 URL):IdP URL,用户将被重定向至该 URL 以在 IdP 进行身份验证。
- Logout URL(退出 URL):IdP URL,用户在突出 Zoho 后将重定向到该 URL。
注意:如果您需要将退出请求/响应发送至 IdP,请勾选该复选框。
- Change Password URL(更改密码 URL):当用户要更改其帐户密码时,将重定向至的 IdP URL。
- PublicKey(公钥):Zoho 可以在 SAML 断言响应中检查数字签名的证书。
注意:确保密钥是 base-64 编码的 .cer、.crt、.cert 或 .pem 文件。我们不接受证书的任何其他格式。
- Algorithm(算法):用于生成公钥的算法。
- Just In Time Provisioning(即时配置):如果您希望将 IdP 中的用户临时添加到 Zoho,请选中此复选框。 验证 SAML 响应及其域后,我们会将它们添加到 Zoho。
- Zoho Service(Zoho 服务):用户验证登录后将登录的 Zoho 服务页面。
- 单击 Add(添加)。
注意:如果您选择向您的 IdP 发送退出请求/响应,则必须在您的 IdP 上传退出证书。
- 您可以使用状态下拉菜单为机构启用或禁用 SAML。
- 单击 Download(下载)以下载元数据文件。 元数据文件包含您需要提供给 IdP 的信息。
- 实体 ID:Zoho.com.cn 是签发 SAML 请求的实体。
- Certificate(证书):您可以在元数据文件中的 ‹ds:X509Certificate› 标记中找到此证书。 此证书用于验证由 Zoho 发送的退出请求或退出响应。
注意:只有在勾选了 Logout response(退出响应)复选框时,您才会收到此消息。
- Logout URL(退出 URL):在元数据文件中查找标记 ‹md:SingleLogoutService›。 这是您需要在 IDP 上配置的退出端点。
- Assertion Consumer Service URL(断言使用者服务 URL):此 URL 可在标记 ‹md:AssertionConsumerService› 下的 Location element(位置元素)中找到。这是 IdP 必须向其发送 SAML 响应的 URL 端点。
注意:Zoho 仅支持元数据文件中指定的电子邮件地址名称 ID 格式。
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress