跳至主内容

配置ConnectWise PSA与身份提供商的单点登录

ConnectWise PSA 集成支持与第三方身份提供商(如AD FS、Okta和Microsoft Entra ID)实现单点登录(SSO)。

单点登录工作原理

通过单点登录功能,您可登录 ConnectWise PSA应用 并通过身份提供商完成认证。

以下是单点登录在 ConnectWise PSA应用 :

  1. 您访问 ConnectWise PSA应用 登录页面 并输入为您的 ConnectWise PSA 租户配置的SSO别名。

    cw_psa_app_first_login_p_1067432_en.png

  2. ConnectWise PSA应用 会创建SAML请求,并将该请求和用户转发至为租户配置的身份提供商。

  3. 您将被重定向至身份提供商页面进行身份验证。

  4. 在身份提供商验证成功后,用户将被重定向回 ConnectWise PSA应用 .

  5. ConnectWise PSA应用 获取响应并通过证书指纹进行验证。

    随后, ConnectWise PSA应用 将允许您无需其他交互即可登录。

启用SSO后,若存在与身份提供商的活动会话,当您在登录页面输入别名时,将直接跳转至 ConnectWise PSA应用 中的公司页面。

要求

要在 ConnectWise PSA应用 中启用SSO,需满足以下条件:

  • 您拥有可用的 ConnectWise PSA应用 集成。

  • 您在Okta、Microsoft Entra ID或AD FS中拥有具备SSO配置权限的管理员账户。

  • 用于配置单点登录的证书必须由证书颁发机构(CA)签发,自签名证书不被接受。

创建签名证书

首先,您必须配置签名证书,该证书将在后续配置身份提供商(IdP)时使用。此证书仅用于建立对 ConnectWise PSA应用 的信任关系。

创建证书需遵循以下步骤:

  1. 在文本编辑器中新建一个文件。

  2. 将以下字符串粘贴至文本文件中: 

    -----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----

    警告

    由于兼容性问题,请移除 -----BEGINCERTIFICATE----------ENDCERTIFICATE----- 若使用AD FS作为身份提供商。

    其他身份提供商(如Okta和Entra ID)则接受甚至要求保留这些标签。

  3. 将文件另存为 bitdefender_authservice.cer

该证书有效期有限。请在到期日返回本文重新生成证书。

警告

2025年9月30日, Bitdefender 已更换旧签名证书(原定于2025年10月1日过期)。新证书有效期至2026年9月26日。

请更新 ConnectWise PSA应用 在身份提供商(IdP)中的SSO设置,并添加新证书以确保2025年10月1日后仍能通过SSO别名登录。

配置身份提供商

单点登录配置因身份提供商而异,但各提供商与 ConnectWise PSA应用 :

  • 单点登录URL - 用于通过HTTP POST发送SAML断言的目标地址,亦称断言消费者服务(ACS) URL。

    必填值: https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

  • 服务提供商实体ID - 作为SAML断言目标受众的应用唯一标识符,亦称受众URL。

    必填值: https://authorization-service.rmm.bitdefender.com

  • 名称ID格式 - 指身份提供商支持的格式。服务提供商与身份提供商通过用户相关的名称标识符进行通信。

    建议设置为 <用户邮箱> .

  • 服务提供商颁发者 - 通常为实体ID,服务提供商利用此信息进行验证。

    必填值: https://authorization-service.rmm.bitdefender.com

注意

ConnectWise PSA应用 不支持单点登出功能。

配置AD FS

要将AD FS配置为单点登录的身份提供商,请按以下步骤操作:

  1. 添加信赖方信任

  2. 创建声明规则

  3. 更新证书

添加信赖方信任

ConnectWise PSA应用 与AD FS之间的连接通过信赖方信任定义。添加步骤如下: 登录已安装AD FS的服务器。

  1. 启动AD FS管理应用程序。

  2. 在应用程序中选择

  3. 信赖方信任 > >

  4. 添加信赖方信任向导 窗口的 欢迎 页面 页面,选择 声明感知 并点击 开始 .

    psa_app_adfs_welcome_p_587580_en.png

  5. 选择数据源 页面,选择 手动输入依赖方数据 .

    psa_app_adfs_data_source_p_587580_en.png

  6. 点击 下一步 .

  7. 指定显示名称 页面,输入服务提供商的名称。例如, Bitdefender授权服务 .

    psa_app_adfs_display_name_p_587580_en.png

  8. 点击 下一步 .

  9. 配置证书 页面,点击 下一步 .

    psa_app_adfs_configure_certificate_p_587580_en.png

  10. 配置URL 页面,按照以下步骤操作:

    1. 选择 启用对SAML 2.0 WebSSO协议的支持 .

    2. 依赖方SAML 2.0 SSO服务URL 处输入以下URL: https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

    3. 点击 下一步 .

      psa_app_adfs_configure_url_p_587580_en.png

  11. 配置标识符 页面,为依赖方信任标识符输入以下URL: https://authorization-service.rmm.bitdefender.com

    psa_app_adfs_configure_identifiers_p_587580_en.png

  12. 点击 添加 ,然后 下一步 .

  13. 选择访问控制策略 页面,选择 允许所有人 .

    psa_app_adfs_access_control_p_587580_en.png

  14. 准备添加信任 页面,转到 端点 选项卡并验证以下URL是否已添加到 SAML断言消费者端点 :

    https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice 绑定方式为 POST

    psa_app_adfs_ready_to_add_p_587580_en.png

  15. 完成 页面,勾选 为此应用程序配置声明颁发策略 .

    psa_app_adfs_finish_p_587580_en.png

  16. 点击 关闭 .

创建声明规则

添加信赖方信任后,需创建声明规则:

  1. 在AD FS管理应用程序中,点击 编辑声明颁发策略...

  2. 点击 添加规则 以创建新规则。

    psa_app_adfs_add_rule_p_587580_en.png

  3. 添加转换声明规则向导 中, 选择规则类型 页面,选择 将LDAP属性作为声明发送 作为声明规则模板。

    psa_app_adfs_rule_template_p_587580_en.png

  4. 点击 下一步 .

  5. 配置声明规则 页面,请执行以下操作:

    1. 声明规则名称 框中输入相关名称,例如 LdapNameID .

    2. 对于 属性存储 ,选择 Active Directory .

    3. 在下表中, LDAP属性(选择或输入以添加更多) 下,选择 用户主体名称 .

    4. 传出声明类型(选择或输入以添加更多) 下,选择 名称ID .

      psa_app_adfs_configure_rule_p_587580_en.png

  6. 点击 确定 ,然后 应用 .

上传签名证书

ConnectWise PSA应用 与AD FS的集成需要签名证书。要创建证书,请参阅本文开头的专用部分。

注意

要使证书在AD FS中有效,请确保已移除 -----开始证书----------结束证书----- 标记。

上传签名证书的步骤如下:

  1. 在AD FS管理应用程序的左侧菜单中,转至 信赖方信任 .

  2. 在中央面板中,选择您创建的信赖方信任。

  3. 属性 窗口中,转到 签名 选项卡。

    psa_app_trust_properties_p_587580_en.png

  4. 点击 添加 .

    psa_app_trust_add_certificate_p_587580_en.png

  5. 在新窗口中,从下拉菜单中选择 所有文件(*.*) 并上传证书。

  6. 属性 窗口中,点击 添加 确定 .

    psa_app_trust_apply_certificate_p_587580_en.png

配置Okta

您需要配置一个将Okta平台连接到 ConnectWise PSA应用 .

配置应用程序请按以下步骤操作:

  1. 登录Okta管理员控制台。

  2. 若未自动跳转,请点击用户名旁的 管理员 以进入应用程序配置界面。

    okta_sso_admin_p_587685_en.png

  3. 在左侧菜单中,进入 应用程序 版块并点击 创建应用集成 .

    okta_sso_create_app_p_587685_en.png

  4. 创建新应用集成 窗口中,选择 SAML 2.0 作为登录方法,然后点击 下一步 .

    okta_sso_settings_select_saml_p_587685_en.png

  5. 创建SAML集成 页面中, 常规设置 标签页下执行以下操作:

    1. 输入应用名称(例如ConnectWise PSA应用)。

    2. 可选操作:上传徽标图片并设置应用可见性。

    3. 点击 下一步 .

    okta_sso_app_name_p_587685_en.png

  6. 配置SAML 页面上,按照以下步骤操作:

    1. 单点登录URL 下,输入 https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

      同时勾选 将此用于收件人URL和目标URL .

    2. 受众URL(SP实体ID) 下,输入 https://authorization-service.rmm.bitdefender.com

    3. 对于 名称ID格式 ,选择 EmailAddress .

    4. 点击 显示高级设置 链接以添加更多配置详细信息。

      okta_sso_settings_general_p_587685_en.png

    5. 对于 响应 ,选择 已签名 .

    6. 对于 断言签名 ,选择 已签名 .

    7. 对于 签名算法 ,请选择 RSA-SHA256 .

    8. 对于 摘要算法 ,请选择 SHA256 .

    9. 对于 断言加密 ,请选择 不加密 .

    10. 对于 签名证书 ,请点击 浏览文件... 上传您先前创建的签名证书。

    11. 上传证书后, 启用单点注销 签名请求 的选项将变为可用。请勿选择 允许应用程序发起单点注销 使用签名证书验证SAML请求 .

    12. SP Issuer 下输入 https://authorization-service.rmm.bitdefender.com

    13. 对于 Authentication context class ,选择 PasswordProtectedTransport .

    14. 对于 Honor Force Authentication ,选择 .

    15. 对于 SAML Issuer ID ,保留默认值: http://www.okta.com/${org.externalKey}

      其余字段留空,包括 Attribute Statements (可选) Group Attribute Statements (可选) .

      okta_sso_settings_advanced_p_587685_en.png

    16. 点击 下一步 .

  7. 反馈 页面,选择 我是正在添加内部应用的Okta客户 .

  8. 点击 完成 .

    okta_sso_app_feedback_p_587685_en.png

完成配置后,Okta会将您重定向至包含已创建应用详情的页面。请执行以下附加步骤:

  1. 登录标签页 中,点击 复制 按钮(位于 元数据详情 部分下方)。

    这将复制包含元数据详情的XML文件URL,您需要将其粘贴至 ConnectWise PSA应用 以启用SSO。请妥善保存该URL以备后续使用。

    okta_sso_metadata_url_p_587685_en.png

  2. 前往Okta的 应用程序 页面查看应用状态。该应用必须处于激活状态。

  3. 点击配置按钮可将应用分配给用户、用户组或停用该应用。

    okta_sso_assign_users_p_587685_en.png

配置Microsoft Entra ID

您需要配置一个非库应用程序,用于将Entra ID连接至 ConnectWise PSA应用 。配置非库应用程序的步骤如下:

  1. 登录 Azure门户 .

  2. 在欢迎页面,进入 Microsoft Entra ID .

    psa_app_entra_p_587631_en.png

  3. 在左侧菜单中,进入 企业应用程序 .

  4. 在页面顶部,点击 + 新建应用程序 .

    psa_app_entra_newapp_p_587631_en.png

  5. 浏览 Microsoft Entra 应用库 部分,点击 + 创建自己的应用程序 .

    psa_app_entra_create_p_587631_en.png

  6. 创建自己的应用程序 部分,按照以下步骤操作:

    1. 输入相关名称(例如 ConnectWise PSA 应用)。

    2. 选择 集成未在应用库中找到的其他应用程序(非库应用) .

    3. 点击 创建 .

    psa_app_entra_appname_p_587631_en.png

  7. 在应用程序的 概览 页面,进入 用户和组 .

    psa_app_entra_users_groups_p_587631_en.png

  8. 点击 + 添加用户/组 以分配用户或用户组到您的应用程序。

    psa_app_entra_add_user_p_587631_en.png

  9. 添加分配 页面,前往 用户和群组 并点击 未选择 .

    psa_app_entra_none_selected_p_587631_en.png

  10. 在右侧面板中,选择要分配给应用程序的用户并点击 选择 .

    psa_app_entra_select_user_p_587631_en.png

  11. 返回 添加分配 页面,点击 分配 以确认附加到应用程序的用户。

  12. 转到 单点登录 部分并点击 SAML .

    psa_app_entra_saml_p_587631_en.png

  13. 使用SAML设置单点登录 页面上,完成以下部分:

    • 基本SAML配置

    • 用户属性与声明

    • SAML签名证书

    这些部分的选项如下所述。

    psa_app_entra_setup_sso_p_587631_en.png

基本SAML配置

基本SAML配置 部分,按照以下步骤操作:

  1. 点击铅笔图标进行编辑。

  2. 配置以下字段:

    • 标识符(实体ID) 。输入 https://authorization-service.rmm.bitdefender.com

    • 回复URL(断言消费者服务URL) 。输入 https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

    psa_app_entra_basic_saml_p_587631_en.png

  3. 点击 保存 .

返回设置页面。

用户属性与声明

属性与声明 部分,按以下步骤操作:

  1. 点击铅笔图标进行编辑。

  2. 在新页面中,点击 + 添加新声明 选项。

  3. 配置以下字段:

    • 名称 。为此声明输入一个名称。

    • 来源 。选择 属性 .

    • 来源属性 。从下拉菜单中选择 user.mail .

    psa_app_entra_manage_claim_p_587631_en.png

  4. 点击 保存 .

返回设置页面。

SAML证书

确保Microsoft Entra ID拥有受信任的SAML证书。自签名证书不能用于 ConnectWise PSA 集成。

SAML证书 部分,按以下步骤操作:

  1. 对于 令牌签名证书 ,点击铅笔图标进行编辑。

    psa_app_entra_saml_certificates_p_587631_en.png

  2. 在配置页面中,输入接收证书到期提醒的电子邮件地址。

    psa_app_entra_certificate_token_p_587631_en.png

  3. 点击 保存 .

  4. 返回设置页面,进入 验证证书(可选) 并点击铅笔图标进行编辑。

  5. 在配置页面中,选择 需要验证证书 并点击上传先前创建的证书。

    psa_app_entra_verification_certificate_p_587631_en.png

  6. 点击 保存 .

返回设置页面。

SAML签名证书 部分还显示 应用联盟元数据URL .

这是 元数据URL ,您需要在 ConnectWise PSA应用 中配置单点登录时添加该URL。

点击 复制到剪贴板 按钮复制并粘贴该URL到手边位置,或在浏览器中保持此窗口开启以备将来在 ConnectWise PSA应用 .

psa_app_entra_metadata_url_p_587631_en.png

配置 ConnectWise PSA应用

配置身份提供商后,您必须在 ConnectWise PSA应用 中启用单点登录。请按以下步骤操作:

  1. ConnectWise PSA应用 中,前往 系统 > 认证 .

  2. 管理单点登录 下,输入以下详细信息:

    • 为别名输入一个名称。

      该名称必须唯一(未被其他 ConnectWise PSA 租户使用),且至少包含五个字母数字字符。可使用连字符(-)作为字符。

    • 在元数据URL字段中,输入您在身份提供者中完成对应应用程序配置时先前保存的链接。

    datto_rmm_app_system_auth_p_300614_en.png

  3. 要启用单点登录,请点击 保存更改 .

下次登录 ConnectWise PSA应用程序 时仅需使用别名即可。

禁用单点登录

若要禁用 ConnectWise PSA应用程序 的单点登录功能,请按以下步骤操作:

  1. ConnectWise PSA应用程序 中,前往 系统 > 身份验证 .

  2. 删除别名及元数据URL。

  3. 点击 保存更改 .

  4. 在确认窗口中点击 禁用

本节内容 :