配置 GravityZone 与Okta的云单点登录
GravityZone 云服务支持与采用SAML 2.0作为认证标准的各种身份提供商(IdP)实现单点登录(SSO)。
本主题描述如何配置 GravityZone 与Okta的云单点登录。关于配置其他身份提供商的通用信息,请参阅 使用第三方身份提供商配置单点登录 .
前提条件与要求
-
您需拥有Okta账户以创建、激活并向用户分配应用程序。
-
您需要拥有 GravityZone 云管理员账户来管理用户、您的公司及其他公司。
-
GravityZone 用户的Okta账户需使用相同电子邮件地址。
重要提示
-
作为 GravityZone 管理员,您可为本公司及下属公司用户配置单点登录。出于安全原因,您无法为自己的 GravityZone 账户启用SSO功能。
-
用户必须隶属于已启用SSO的公司。SSO激活期间,用户无法使用 GravityZone 凭据登录。
-
电子邮件地址在 GravityZone SSO中区分大小写。例如username[at]company.domain与UserName[at]company.domain及USERNAME[at]company.domain被视为不同地址。若 GravityZone 中的电子邮件地址与身份提供商不匹配,用户尝试连接至 控制中心 .
配置Okta
GravityZone 单点登录需通过Okta应用程序实现平台对接。
配置Okta应用程序步骤如下:
-
提取 GravityZone 按照以下步骤提取SAML元数据:
-
登录 Bitdefender GravityZone 管理员账户。
-
点击屏幕右上角的用户名并选择 我的公司 .
-
进入 认证 标签页。
-
在 单点登录 区域,点击
按钮(位于
使用SAML单点登录
字段旁)复制元数据URL。
-
在浏览器新建标签页中打开该元数据URL,并将页面另存为metadata.xml文件。
-
打开上一步保存的metadata.xml文件。
-
复制如下所示的
<ds:X509Certificate>...</ds:X509Certificate>值并粘贴到文本编辑器中。
-
在文件首尾添加以下内容:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-
将文件另存为
certificate.cer.
-
-
登录Okta平台。
-
从个人资料下拉菜单中进入 我的设置 然后选择 管理员 部分。
-
进入 应用程序 部分并点击 创建应用集成 .
-
在 创建新应用集成 窗口中,选择 SAML 2.0 作为登录方法,并点击 下一步 .
-
在 创建SAML集成 页面,应用以下配置:
-
在 常规设置 选项卡下,应用以下配置:
-
输入应用名称(例如GZ应用)。
-
(可选)上传徽标图像并设置应用的可见性。
-
点击 下一步 .
-
-
在 配置SAML 下,按照以下步骤操作:
-
在 单点登录URL 中,输入
https://gravityzone.bitdefender.com/sp/login并勾选 将此用于收件人URL和目标URL . -
在 受众URL(SP实体ID) 中,输入
https://gravityzone.bitdefender.com/sp -
对于 名称ID格式 ,选择 EmailAddress .
-
点击 显示高级设置 链接。
-
应用以下配置:
-
对于 响应 ,选择 已签名 .
-
对于 断言签名 ,选择 已签名 .
-
对于 签名算法 ,选择 RSA-SHA256 .
-
对于 摘要算法 ,选择 SHA256 .
-
对于 断言加密 ,选择 不加密 .
-
在 签名证书 部分,上传 GravityZone 步骤1中获取的证书。
-
对于 启用单点注销 ,勾选 允许应用程序发起单点注销 以显示新选项。
-
在 单点注销URL 部分,输入
https://gravityzone.bitdefender.com/sp/logout -
在 SP发行者 ,输入
https://gravityzone.bitdefender.com/sp -
对于 认证上下文类 ,选择 密码保护传输 .
-
对于 强制认证优先 ,选择 是 .
-
对于 SAML发行者ID ,保留默认值:
http://www.okta.com/${org.externalKey}.其余字段留空,包括 属性声明(可选) 和 组属性声明(可选) .
重要提示
请确保已输入上述所有数据并上传 GravityZone 证书后再继续操作。
-
-
点击 下一步 .
-
-
在 反馈 下方,选择 我是添加内部应用的Okta客户 并点击 完成 .
完成配置后,Okta会将您重定向至一个页面,其中包含所创建应用的详细信息。
-
-
在 登录 标签页中,点击 复制 按钮(位于 元数据详情 部分下方)。
这将复制包含元数据详情的XML文件URL ,您需要将其粘贴到 GravityZone 控制中心 以启用SSO 。请妥善保存该URL以备后续使用。
注意
:您可将该URL粘贴至浏览器窗口以查看文件内容:
-
前往Okta的 应用程序 页面查看应用状态。该应用必须处于激活状态。
-
点击配置按钮可分配用户、用户组或停用该应用。
在 GravityZone
中启用SSO 完成Okta的单点登录配置后,请前往 GravityZone 控制中心 为公司及用户启用单点登录。仅当所属公司启用SSO后,用户才可通过身份提供商登录。
为您的公司启用SSO
按以下步骤为公司启用单点登录:
-
在 控制中心 右上角点击
用户图标并选择
我的公司
.
-
在 认证 标签页的 使用SAML的单点登录 栏目下,在对应字段输入身份提供商元数据URL。另一个用于 GravityZone 元数据URL的字段不可编辑。
-
点击 保存 .
为托管公司启用SSO
按以下步骤为托管公司启用单点登录:
-
登录 GravityZone 控制中心 .
-
通过左侧菜单进入 公司 页面。
-
在表格中点击公司名称。
-
在 配置SAML单点登录 下方,在对应字段输入身份提供商元数据URL。另一个保留给 GravityZone 元数据URL的字段不可编辑。
-
点击 保存 .
更改用户认证方式
为公司启用SSO后, GravityZone 中该公司的用户账户即可更改认证方式。
您可以通过以下步骤逐个更改用户认证方式:
-
登录 GravityZone 控制中心 .
-
从左侧菜单进入 账户 页面。
-
在表格中点击用户名。
-
在 登录安全 下方,前往 认证方式 并选择 通过身份提供商登录 .
-
点击 保存 .
您可以为任意数量的 GravityZone 用户启用SSO,但不能为自己的管理员账户启用。
注意
如果某个 GravityZone 用户账户的配置页面未显示 设置与权限 部分,则可能该公司尚未启用SSO。
测试 GravityZone SSO
完成身份提供商和 GravityZone 的配置后,可按以下步骤测试单点登录:
-
从 GravityZone .
-
从Okta注销。
-
访问 https://gravityzone.bitdefender.com/ .
注意
GravityZone SSO不支持身份提供商发起登录,仅支持服务提供商发起登录。因此,您需要通过访问 GravityZone 控制台( 控制中心 ),而非通过点击Okta中的应用图标。
-
输入为测试创建的有效的电子邮件地址(非您 GravityZone 管理员账户的地址)。
-
点击 下一步 .
您应被重定向至身份提供商的认证页面。
-
使用您的身份提供商进行认证。
您将被重定向回 GravityZone ,片刻之后,您应自动登录至 控制中心 .
禁用 GravityZone 单点登录
要为您的公司或您管理的公司禁用单点登录:
-
从该公司的配置页面删除身份提供商的元数据URL。
-
点击 保存 并确认操作。
用户可通过点击 重置我的密码 选项在 控制中心 登录页面并按照说明获取新密码。
要重新启用 GravityZone 单点登录功能,请再次在配置页面输入身份提供商并点击 保存 .
重新启用SSO后,该公司下的用户将继续使用 控制中心 的 GravityZone 凭据登录。您需要逐一手动配置每个账户,才能再次通过身份提供商登录。