设置单点登录

如何为您的组织设置单点登录 (SSO)

阅读时间6分钟
上次更新6 个月前

使用 Unity 单点登录 (SSO) 集成,您的用户只需要一组凭据即可访问 Unity 产品和服务。

利用 SSO 功能

  • 简化登录过程,以便用户可以使用其公司的凭据登录,而不是使用 Unity ID 和密码。
  • 通过单一身份验证点降低丢失或被盗密码的风险。
  • 通过第一个用户登录时的用户预配改进管理工作流程。

先决条件
先决条件

Unity SSO 使用安全断言标记语言 (SAML) 2.0 协议。在您为您的组织配置 SSO 之前,您必须首先在您的身份提供商 (IdP) 服务中创建 SAML 应用程序。

Unity SSO 支持以下 IdP

要在您的 IdP 服务中创建 SAML 应用程序,请按照以下步骤操作

  1. 转到您组织的 IdP 门户并创建一个新的 SAML 2.0 应用程序。
  2. 在新选项卡中,转到Unity 云
  3. 转到管理>单点登录
  4. Unity部分复制以下元数据参数的值
    • 实体 ID
    • 登录(断言使用者服务)URL
    • 证书
  5. 返回您的 IdP 门户并将值粘贴到 SAML 设置的相应字段中。
  6. 将自定义用户属性映射添加到您的 IdP 中的 SAML 2.0 连接器
    1. 对于自定义属性名称,输入Email
    2. 选择 IdP 中用户的电子邮件作为字段。要对用户进行身份验证,Unity SAML SSO 需要Email属性。

为您的组织配置 SSO
为您的组织配置 SSO

要为您的组织配置 SSO,请按照以下步骤操作

  1. Unity 云中,选择管理>单点登录,然后选择身份提供商部分旁边的编辑信息
  2. 在新选项卡中,转到您组织的 IdP 门户。
  3. 从您的 SAML 2.0 应用程序的设置页面生成以下 SAML 2.0 应用程序的元数据参数
    • Entity ID:您正在使用的 IdP。此参数有时也称为以下名称
      • 身份提供者发行者
      • 发行者 URL
    • SSO Login URL:IdP 登录 URL。
    • X.509:IdP 证书。
  4. 返回 Unity 云的单点登录页面并将值粘贴到相应字段中。
  5. 保存更改。

验证 SSO 的域
验证 SSO 的域

为了让 Unity 识别您为域所有者,您必须使用 Unity 验证您组织的域。

在 SSO 集成的背景下,域验证确保域的合法所有权和控制。域验证还有助于防止域冒充和应用程序的欺诈性配置。验证充当信任锚。其他方不能轻易声称代表该组织,例如您的域,并配置可能导致未经授权的访问或组织身份滥用的应用程序或服务。

域验证是 SSO 工作的必要条件。

要确保 IdP 中验证的域列表与 Unity SSO 中验证的域列表匹配,请按照以下步骤操作

  1. 转到Unity 云
  2. 转到管理>单点登录,然后选择添加域
  3. 输入您要为其启用 SSO 的域,然后选择添加并验证
  4. 从域信息窗口中复制整个 DNS TXT 记录。
  5. 转到您的域注册商的 DNS 管理面板。
  6. 创建类型为 TXT 的 DNS 记录并将复制的内容粘贴到其中。
  7. 在 Unity 云中,选择验证

您可以重复此过程以为其他域启用 SSO。域验证后,其他组织无法声明该域,直到您从 SSO 配置中删除该记录。

记录创建后,Unity 云中的域状态将从待验证更改为活动

Unity 可能需要最多 48 小时才能通过 DNS 传播来验证您的域。此过程在托管区域到达之前通知上游提供者有关域信息。在域完全验证之前,Unity SSO 不适用于该域。

禁用特定域的 SSO
禁用特定域的 SSO

要禁用特定域的 SSO,请按照以下步骤操作

  1. 转到单点登录>
  2. 选择您要禁用的域旁边的删除

此操作会从您的 SSO 配置中删除域记录。

要重新启用此域的 SSO,您必须再次验证该域以进行 SSO。

测试 SAML SSO 集成
测试 SAML SSO 集成

要测试 SAML SSO 集成,请通过以下方式之一使用 SSO 流程登录 Unity。

通过您的 IdP 应用程序目录
通过您的 IdP 应用程序目录

  1. 转到您的 IdP 应用程序目录。

  2. 使用 IdP 流程。

    此流程会将您重定向到 Unity SSO 登录页面。

  3. 输入测试用户的电子邮件,然后选择登录

通过 Unity 云
通过 Unity 云

  1. 注销 Unity 云。
  2. 转到Unity 云登录页面。
  3. 选择使用 SSO 登录
  4. 输入测试用户的电子邮件,然后选择登录

已知限制
已知限制

以下是 Unity SSO 集成的已知限制

  • 使用 SSO 登录时,您将自动分配到配置了 SSO 的组织。您可以在登录后切换组织,并且您仍然可以访问您所属的其他组织。
  • 通过 SSO 创建 Unity ID 帐户时,您的帐户将在没有个人组织的情况下创建。要创建新项目,您必须手动创建您自己的个人组织。
  • 通过 SSO 创建 Unity ID 帐户时,您的帐户将在没有密码的情况下创建。要设置密码,您必须从登录页面选择忘记密码?并重置密码。
  • SSO 默认情况下未强制执行。