跳至主内容

配置Datto RMM与身份提供商的单点登录(SSO)

通过 Datto RMM应用 集成的Datto RMM支持与第三方身份提供商(如AD FS、Okta和Microsoft Entra ID)的单点登录(SSO)。

单点登录工作原理

通过单点登录,您可登录 Datto RMM应用 只需通过身份提供商验证即可。

以下是 Datto RMM应用 :

  1. 您访问 Datto RMM应用 登录页面 并输入为您的Datto租户配置的SSO别名。

    datto_rmm_app_login_2024_09_p_464407_en.png

  2. Datto RMM应用 会生成SAML请求,并将该请求和用户转发至为租户配置的身份提供商。

  3. 您将被重定向至身份提供商页面进行身份验证。

  4. 在身份提供商验证成功后,用户将被重定向回 Datto RMM应用 .

  5. Datto RMM应用 获取响应并通过证书指纹进行验证。

    随后, Datto RMM应用 将允许您无需其他交互即可登录。

启用SSO后,若在身份提供商处存在活跃会话,当您在登录页面输入别名时, 公司 页面。 Datto RMM应用 会直接跳转至

前提条件

要在 Datto RMM应用 中启用SSO,需满足以下条件:

  • 您拥有可用的 Datto RMM应用 集成。

  • 您在Okta、Microsoft Entra ID或AD FS中拥有具备SSO配置权限的活跃管理员账户。

  • 必须使用受信任证书颁发机构(CA)签名的证书。出于安全考虑,SSO功能不接受自签名证书。

创建签名证书

首先,您必须配置签名证书,该证书将在后续配置身份提供商(IdP)时使用。此证书仅用于在身份提供商中建立对 Datto RMM应用 的信任。

创建证书请按以下步骤操作:

  1. 在文本编辑器中新建一个文件。

  2. 将以下字符串粘贴至文本文件中: 

    -----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----

    警告

    由于兼容性问题,请移除 -----BEGINCERTIFICATE----------ENDCERTIFICATE----- 若使用AD FS作为身份提供者。

    其他身份提供者(如Okta和Entra ID)接受甚至需要这些标签。

  3. 将文件保存为 bitdefender_authservice.cer

该证书有效期有限。请在到期日返回本文重新生成证书。

警告

2025年9月30日, Bitdefender 已更换原定于2025年10月1日过期的旧签名证书。新证书有效期至2026年9月26日。

请更新 Datto RMM应用 在身份提供者(IdP)中的SSO设置,并包含新证书以在2025年10月1日后继续使用SSO别名登录。

配置身份提供者

不同身份提供者的单点登录配置可能有所差异,但集成 Datto RMM应用 :

  • 单点登录URL - 用于通过HTTP POST发送SAML断言的目标地址,也称断言消费者服务(ACS) URL。

    必填值: https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

  • 服务提供商实体ID - 作为SAML断言目标受众的应用唯一标识符,也称受众URL。

    必填值: https://authorization-service.rmm.bitdefender.com

  • 名称ID格式 - 指身份提供商支持的格式。服务提供商与身份提供商通过用户相关的名称标识符进行通信。

    建议设置为 <用户邮箱> .

  • 服务提供商颁发者 - 通常为实体ID,服务提供商利用此信息进行验证。

    必填值: https://authorization-service.rmm.bitdefender.com

注意

Datto RMM应用 不支持单点登出功能。

配置AD FS

要将AD FS配置为单点登录的身份提供商,请按以下步骤操作:

  1. 添加信赖方信任

  2. 创建声明规则

  3. 更新证书

添加信赖方信任

Datto RMM应用 与AD FS之间的连接通过信赖方信任定义。添加步骤如下: 登录安装AD FS的服务器。

  1. 启动AD FS管理应用程序。

  2. 在应用程序中选择

  3. 信赖方信任 > >

  4. 添加信赖方信任向导 窗口的 欢迎 页面 页面,选择 声明感知 并点击 开始 .

    datto_rmm_app_adfs_welcome_p_464410_en.png

  5. 选择数据源 页面,选择 手动输入关于依赖方的数据 .

    datto_rmm_app_adfs_data_source_p_464410_en.png

  6. 点击 下一步 .

  7. 指定显示名称 页面,输入服务提供商的名称。例如, Bitdefender授权服务 .

    datto_rmm_app_adfs_display_name_p_464410_en.png

  8. 点击 下一步 .

  9. 配置证书 页面,点击 下一步 .

    datto_rmm_app_adfs_configure_certificate_p_464410_en.png

  10. 配置URL 页面,按照以下步骤操作:

    1. 选择 启用对SAML 2.0 WebSSO协议的支持 .

    2. 依赖方SAML 2.0 SSO服务URL 处输入以下URL: https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

    3. 点击 下一步 .

      datto_rmm_app_adfs_configure_url_p_464410_en.png

  11. 配置标识符 页面,为依赖方信任标识符输入以下URL: https://authorization-service.rmm.bitdefender.com

    datto_rmm_app_adfs_configure_identifiers_p_464410_en.png

  12. 点击 添加 ,然后 下一步 .

  13. 选择访问控制策略 页面,选择 允许所有人 .

    datto_rmm_app_adfs_access_control_p_464410_en.png

  14. 准备添加信任 页面,转到 端点 选项卡并验证以下URL是否已添加到 SAML断言消费者端点 :

    https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice 绑定方式为 POST

    datto_rmm_app_adfs_ready_to_add_p_464410_en.png

  15. 完成 页面,勾选 为此应用程序配置声明颁发策略 .

    datto_rmm_app_adfs_finish_p_464410_en.png

  16. 点击 关闭 .

创建声明规则

添加信赖方信任后,需创建声明规则:

  1. 在AD FS管理应用程序中,点击 编辑声明颁发策略...

  2. 点击 添加规则 以创建新规则。

    datto_rmm_app_adfs_add_rule_p_464410_en.png

  3. 添加转换声明规则向导 中, 选择规则类型 页面,选择 将LDAP属性作为声明发送 作为声明规则模板。

    datto_rmm_app_adfs_rule_template_p_464410_en.png

  4. 点击 下一步 .

  5. 配置声明规则 页面,执行以下操作:

    1. 声明规则名称 框中,输入相关名称。例如, LdapNameID .

    2. 对于 属性存储 ,选择 Active Directory .

    3. 在下表中, LDAP属性(选择或输入以添加更多) 下,选择 用户主体名称 .

    4. 传出声明类型(选择或输入以添加更多) 下,选择 名称ID .

      Edit_Claims_03.PNG

  6. 点击 确定 ,然后 应用 .

上传签名证书

Datto RMM应用 与AD FS的集成需要签名证书。要创建证书,请参考 创建签名证书 .

注意

要使证书在AD FS中有效,请确保已移除 -----BEGINCERTIFICATE---------ENDCERTIFICATE----- 标记。

上传签名证书的步骤如下:

  1. 在AD FS管理应用程序的左侧菜单中,导航至 信赖方信任 .

  2. 在中央面板中,选择您创建的信赖方信任。

  3. 属性 窗口中,转到 签名 选项卡。

    datto_rmm_app_trust_properties_p_464410_en.png

  4. 点击 添加 .

    datto_rmm_app_trust_add_certificate_p_464410_en.png

  5. 在新窗口中,从下拉菜单中选择 所有文件 (*.*) 并上传证书。

  6. 属性 窗口中,点击 添加 确定 .

    datto_rmm_app_trust_apply_certificate_p_464410_en.png

配置Okta

您必须配置一个将Okta平台连接到 Datto RMM应用 .

配置应用程序的步骤如下:

  1. 登录Okta管理员控制台。

  2. 如果未自动跳转,请点击用户名旁的 管理员 以访问应用程序配置设置。

    okta_sso_admin_p_464412_en.png

  3. 在左侧菜单中,进入 应用程序 版块并点击 创建应用集成 .

    okta_sso_create_app_p_464412_en.png

  4. 创建新应用集成 窗口中,选择 SAML 2.0 作为登录方式,然后点击 下一步 .

    okta_sso_select_saml_p_464412_en.png

  5. 创建SAML集成 页面的 常规设置 选项卡下,按以下步骤操作:

    1. 输入应用名称(例如Datto应用)。

    2. 可选:上传徽标图片并设置应用可见性。

    3. 点击 下一步 .

    okta_sso_app_name_p_464412_en.png

  6. 配置SAML 页面,按照以下步骤操作:

    1. 单点登录URL 处输入 https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

      同时勾选 将此用于收件人URL和目标URL .

    2. 受众URL(SP实体ID) 处输入 https://authorization-service.rmm.bitdefender.com

    3. 对于 名称ID格式 ,选择 EmailAddress .

    4. 点击 显示高级设置 链接以添加更多配置详细信息。

      okta_sso_settings_general_p_464412_en.png

    5. 对于 响应 ,选择 已签名 .

    6. 对于 断言签名 ,选择 已签名 .

    7. 对于 签名算法 ,选择 RSA-SHA256 .

    8. 对于 摘要算法 ,选择 SHA256 .

    9. 对于 断言加密 ,选择 未加密 .

    10. 对于 签名证书 ,点击 浏览文件... 上传您先前在 创建签名证书 .

    11. 上传证书后, 启用单点注销 签名请求 生效。不要选择 允许应用程序发起单点注销 也不选择 使用签名证书验证SAML请求 .

    12. SP颁发者 字段中输入 https://authorization-service.rmm.bitdefender.com

    13. 对于 认证上下文类 ,选择 密码保护传输 .

    14. 对于 强制执行认证 ,选择 .

    15. 对于 SAML颁发者ID ,保留默认值: http://www.okta.com/${org.externalKey}

      其余字段留空,包括 属性声明(可选) 组属性声明(可选) .

      okta_sso_settings_advanced_p_464412_en.png

    16. 点击 下一步 .

  7. 反馈 页面,选择 我是正在添加内部应用的Okta客户 .

  8. 点击 完成 .

    okta_sso_app_feedback_p_464412_en.png

完成配置后,Okta会将您重定向至包含所创建应用详情的页面。请执行以下附加步骤:

  1. 登录标签页 中,点击 复制 按钮(位于 元数据详情 部分下方)。

    这将复制包含元数据详情的XML文件URL,您需将其粘贴至 Datto RMM应用 以启用SSO。请妥善保存该URL以备后续使用。

    okta_sso_metadata_url_p_464412_en.png

  2. 前往Okta的 应用程序 页面查看应用状态。该应用必须处于激活状态。

  3. 点击配置按钮可将应用分配给用户、用户组或停用该应用。

    okta_sso_assign_users_p_464412_en.png

配置Microsoft Entra ID

您需配置一个非库应用程序,用于将Entra ID连接至 Datto RMM应用 。配置非库应用程序的步骤如下:

  1. 登录 Azure门户 .

  2. 在欢迎页面,导航至 Microsoft Entra ID .

    datto_rmm_app_entra_p_464414_en.png

  3. 在左侧菜单中,选择 企业应用程序 .

  4. 在页面顶部,点击 + 新建应用程序 .

    datto_rmm_app_entra__newapp_p_464414_en.png

  5. 浏览 Microsoft Entra 应用库 部分,点击 + 创建自己的应用程序 .

    datto_rmm_app_entra_create_p_464414_en.png

  6. 创建自己的应用程序 部分,按以下步骤操作:

    1. 输入一个相关名称(例如 Datto RMM 应用)。

    2. 选择 集成未在应用库中找到的其他应用程序(非库应用) .

    3. 点击 创建 .

    datto_rmm_app_entra_appname_p_464414_en.png

  7. 在应用程序的 概述 页面,导航至 用户和组 .

    datto_rmm_app_entra_users_groups_p_464414_en.png

  8. 点击 + 添加用户/组 以分配用户或用户组到您的应用程序。

    datto_rmm_app_entra_add_user_p_464414_en.png

  9. 添加分配 页面,前往 用户和组 并点击 未选择 .

    datto_rmm_app_entra_none_selected_p_464414_en.png

  10. 在右侧面板中,选择要分配给应用程序的用户并点击 选择 .

    datto_rmm_app_entra_select_user_p_464414_en.png

  11. 返回 添加分配 页面,点击 分配 以确认附加到应用程序的用户。

  12. 转到 单点登录 部分并点击 SAML .

    datto_rmm_app_entra_saml_p_464414_en.png

  13. 设置使用SAML的单点登录 页面,完成以下部分:

    • 基本SAML配置

    • 用户属性与声明

    • SAML签名证书

    这些部分的选项详情如下。

    datto_rmm_app_entra_setup_sso_p_464414_en.png

基本SAML配置

基本SAML配置 部分,按照以下步骤操作:

  1. 点击铅笔图标进行编辑。

  2. 配置以下字段:

    • 标识符(实体ID) 。输入 https://authorization-service.rmm.bitdefender.com

    • 回复URL(断言消费者服务URL) 。输入 https://authorization-service.rmm.bitdefender.com/api/saml/assertionconsumerservice

    datto_rmm_app_entra_basic_saml_p_464414_en.png

  3. 点击 保存 .

返回设置页面。

用户属性与声明

属性与声明 部分,按照以下步骤操作:

  1. 点击铅笔图标进行编辑。

  2. 在新页面中,点击 + 添加新声明 选项。

  3. 配置以下字段:

    • 名称 。为此声明输入一个名称。

    • 来源 。选择 属性 .

    • 源属性 。从下拉菜单中选择 user.mail .

    datto_rmm_app_entra_manage_claim_p_464414_en.png

  4. 点击 保存 .

返回设置页面。

SAML证书

确保Microsoft Entra ID拥有受信任的SAML证书。自签名证书不能用于 Datto RMM应用 集成。

SAML证书 部分,按以下步骤操作:

  1. 对于 令牌签名证书 ,点击铅笔图标进行编辑。

    datto_rmm_app_entra_saml_certificates_p_464414_en.png

  2. 在配置页面中输入用于证书到期提醒的电子邮件地址。

    datto_rmm_app_entra_certificate_token_p_464414_en.png

  3. 点击 保存 .

  4. 返回设置页面,进入 验证证书(可选) 并点击铅笔图标进行编辑。

  5. 在配置页面中勾选 需要验证证书 并点击上传先前在 创建签名证书 .

    datto_rmm_app_entra_verification_certificate_p_464414_en.png

  6. 点击 保存 .

返回设置页面。

SAML签名证书 部分还会显示 应用联盟元数据URL .

这是 元数据URL ,您需要在配置单点登录时将其添加到 Datto RMM应用 中。

点击 复制到剪贴板 按钮复制该URL并粘贴到随手可及的位置,或在浏览器中保持此窗口开启,以便后续在 Datto RMM应用 .

datto_rmm_app_entra_metadata_url_p_464414_en.png

配置 Datto RMM应用

完成身份提供商的配置后,您需要在 Datto RMM应用 中启用单点登录。请按以下步骤操作:

  1. Datto RMM应用 中,前往 系统 > 认证 .

  2. 管理单点登录 下方,输入以下详细信息:

    • 在别名栏输入名称。

      名称必须唯一(未被其他Datto租户使用),且至少包含五个字母数字字符。允许使用连字符(-)。

    • 在元数据URL栏,输入您在身份提供者中配置对应应用时保存的链接。

    datto_rmm_app_system_auth_p_300614_en.png

  3. 要启用单点登录,请点击 保存更改 .

下次登录 Datto RMM应用 时仅需输入别名即可。

禁用单点登录

若要禁用 Datto RMM应用 的单点登录,请按以下步骤操作:

  1. 在Datto Companion应用中,前往 系统 > 认证 .

  2. 删除别名和元数据URL。

  3. 点击 保存更改 .

  4. 在确认窗口中点击 禁用

本节内容 :