跳至主内容

使用第三方身份提供商配置单点登录

GravityZone 云平台支持与采用SAML 2.0协议的第三方身份提供商(如AD FS、Okta和Azure AD)实现单点登录(SSO)。

重要提示

GravityZone SSO已通过AD FS、Okta和Azure AD的官方测试,但也可兼容其他采用SAML 2.0的身份提供商。本主题包含 关于配置身份提供商的通用信息 以及 指向配置专用流程的链接 AD FS , Okta Azure AD .

如果 GravityZone 单点登录在非官方支持的其他身份提供商上失败,可能是由于该特定身份提供商的设置所致。请联系 Bitdefender企业技术支持 获取可能的建议。但请注意,虽然我们会尽力协助,但无法保证这些建议适用于所有身份提供商。

重要提示

您无法在 GravityZone .

概述

GravityZone 单点登录允许用户通过身份提供商认证登录 控制中心 ,这种方法比使用 GravityZone 凭证更简单安全,因为用户无需记忆或更新密码。

GravityZone 支持服务提供商(SP)发起的单点登录,其用户认证流程如下:

  1. 用户访问 https://gravityzone.bitdefender.com/ ,输入邮箱并点击 下一步 .

  2. GravityZone 会生成一个SAML请求,并将请求和用户转发至身份提供商以请求认证。

    69938_1.png

  3. 用户通过身份提供商进行认证。

  4. 认证完成后,身份提供商向 GravityZone 发送一个以X.509证书签名的XML文档形式的认证响应。身份提供商将用户重定向回 GravityZone .

  5. GravityZone 获取响应并通过证书指纹验证其有效性,从而允许用户无需其他交互即可登录 控制中心

只要用户在身份提供商处保持活跃会话,他们将继续自动登录 GravityZone 控制中心 .

前提条件与要求

要启用 GravityZone 单点登录,需满足以下条件:

  • 您拥有 GravityZone 云管理员账户以管理用户和公司。

  • 您拥有身份提供商(如AD FS、Okta、Azure AD等)的账户以配置单点登录。

  • GravityZone 用户在身份提供商处的账户需使用相同邮箱地址。

重要提示

  • 作为 GravityZone 作为管理员,您可以为贵公司及下属企业的用户配置单点登录。出于安全考虑,您无法为自己的 GravityZone 账户启用单点登录功能。

  • 用户必须隶属于已启用单点登录的企业。当单点登录激活时,用户无法使用 GravityZone 凭据登录。

配置 GravityZone 单点登录

要启用 GravityZone 单点登录,您需完成以下步骤:

  1. 配置身份提供商(IdP)

  2. GravityZone

中启用单点登录

不同身份提供商的单点登录配置可能有所差异,但集成 GravityZone :

  • 单点登录URL ——接收SAML断言HTTP POST请求的地址,亦称 断言消费者服务(ACS) URL 。对于 GravityZone ,单点登录URL为 https://gravityzone.bitdefender.com/sp/login .

  • 服务提供商实体ID ——SAML断言的目标应用程序唯一标识符,亦称 受众URL GravityZone 的实体ID为 https://gravityzone.bitdefender.com/sp .

  • 名称ID格式 ——指身份提供商支持的格式。服务提供商与身份提供商通过用户相关的名称标识符进行通信。对于 GravityZone ,名称ID格式为 emailAddress .

    如果 名称ID 不是有效的电子邮件格式,GravityZone将尝试改用以下属性之一: email , mailhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress .

  • 单点注销URL ——注销响应发送的位置。对于 GravityZone ,单点注销URL为 https://gravityzone.bitdefender.com/sp/logout .

  • 服务提供商颁发者 ——通常为实体ID,服务提供商利用此信息进行验证。对于 GravityZone ,单点登录URL为 https://gravityzone.bitdefender.com/sp/login .

您可以在以下位置找到这些元素: GravityZone 元数据URL文档: https://gravityzone.bitdefender.com/sp/metadata.xml .

对于您的公司, GravityZone 元数据URL显示在 我的公司 > 认证 页面中的 GravityZone 控制中心 .

有关如何配置特定身份提供程序的详细信息,请参阅以下主题:

GravityZone

中启用SSO 配置身份提供程序后,请转到 控制中心 以便为公司及用户启用单点登录(SSO)。仅当用户所属公司已启用SSO时,该用户才可选择通过身份提供商登录。

为公司启用SSO

按以下步骤为公司启用SSO:

  1. 控制中心 右上角点击 control_center_user_menu_icon.png 用户图标并选择 我的公司 .

  2. 认证 标签页的 基于SAML的单点登录 栏目下,在相应字段输入身份提供商元数据URL。另一个用于 GravityZone 元数据URL的字段不可编辑。

  3. 点击 保存 .

    gz_enable_sso_own_company_c_69938_en.png

更改用户认证方式

为公司启用SSO后, GravityZone 中该公司下属用户账户即可变更认证方式。

可按以下步骤逐个更改用户认证方式:

  1. 登录 GravityZone 控制中心 .

  2. 进入 账户 页面,从左侧菜单进入。

  3. 在表格中点击用户名称。

  4. 登录安全 下方,前往 认证方式 并选择 通过身份提供商登录 .

  5. 点击 保存 .

    gz_authentication_method_c_69938_en.png

    您可以为任意数量的 GravityZone 用户启用SSO,但无法为自己的管理员账户启用。

    注意

    GravityZone 用户账户的配置页面未显示 设置与权限 部分,则可能该公司尚未启用SSO。

测试 GravityZone SSO

完成身份提供商与 GravityZone 的配置后,可按以下步骤测试单点登录:

  1. GravityZone .

  2. 从您的身份提供商(AD FS、Azure AD、Okta等)注销。

  3. 访问 https://gravityzone.bitdefender.com/ .

  4. 输入为测试创建的有效电子邮件地址(非您的 GravityZone 管理员账户所用地址)。

  5. 点击 下一步 .

    您应被重定向至身份提供商的身份验证页面。

  6. 通过身份提供商完成认证。

    您将被重定向回 GravityZone ,片刻后应会自动登录 控制中心 .

禁用 GravityZone 单点登录

若要为您的公司或您管理的公司禁用单点登录:

  1. 从该公司配置页面删除身份提供商元数据URL。

  2. 点击 保存 并确认操作。

用户可通过点击 重置密码 选项(位于 控制中心 登录页面并按照提示操作。

要重新启用 GravityZone 单点登录功能(针对某公司),请在配置页面重新输入身份提供商信息并点击 保存 .

重新启用单点登录后,该公司下属用户将继续使用 控制中心 GravityZone 凭据登录。您需要逐个手动配置每个账户,才能再次通过身份提供商登录。

本节内容 :