跳至主内容

通过第三方身份提供商配置单点登录

GravityZone 云平台支持与采用SAML 2.0协议的第三方身份提供商(如AD FS、Okta和Azure AD)实现单点登录(SSO)。

重要提示

GravityZone SSO已通过AD FS、Okta和Azure AD官方测试,但也可兼容其他支持SAML 2.0的身份提供商。本文包含 配置身份提供商的通用指南 以下专用配置流程链接 AD FS , Okta 以及 Azure AD .

如果 GravityZone 单点登录在非官方支持的其他身份提供商处失败,可能是由于该特定身份提供商的设置导致。请联系 Bitdefender企业支持 获取可能的建议。但请注意,虽然我们会尽力协助,但这些建议并不能保证适用于所有身份提供商。

重要提示

GravityZone .

概述

GravityZone 单点登录允许用户通过身份提供商认证登录 控制中心 ,这是一种比 GravityZone 凭证更简单、更安全的方式,用户无需记忆或更新密码。

GravityZone 支持服务提供商(SP)发起的单点登录,其用户认证流程如下:

  1. 用户访问 https://gravityzone.bitdefender.com/ ,输入邮箱并点击 下一步 .

  2. GravityZone 会生成SAML请求,并将请求和用户重定向至身份提供商以进行认证。

    69938_1.png

  3. 用户在身份提供商处完成认证。

  4. 认证通过后,身份提供商会向 GravityZone 一个以X.509证书签名的XML文档形式的认证响应。身份提供商将用户重定向回 GravityZone .

  5. GravityZone 获取响应并通过证书指纹进行验证,允许用户无需其他交互即可登录到 控制中心

只要用户在身份提供商处保持活跃会话,他们将继续自动登录到 GravityZone 控制中心 .

先决条件与要求

要启用 GravityZone 单点登录,需满足以下条件:

  • 您拥有一个 GravityZone 云管理员账户,用于管理用户、您的公司及其他公司。

  • 您拥有身份提供商(AD FS、Okta、Azure AD等)的账户以配置单点登录。

  • GravityZone 用户在身份提供商处拥有相同电子邮箱地址的账户。

重要提示

  • 作为 GravityZone 管理员,您可为您的公司及您管理的公司下的用户配置单点登录。出于安全原因,您无法为自己的 GravityZone 账户启用单点登录。

  • 用户必须隶属于已启用单点登录的公司。单点登录激活期间,用户无法使用 GravityZone 凭据。

配置 GravityZone 单点登录

要启用 GravityZone 单点登录,您必须执行以下操作:

  1. 配置身份提供商(IdP)

  2. GravityZone

中启用单点登录

配置单点登录可能因身份提供商而异。但身份提供商与 GravityZone :

  • 单点登录URL ——用于通过HTTP POST接收SAML断言的目标地址,也称为 断言消费者服务(ACS) URL 。对于 GravityZone ,单点登录URL为 https://gravityzone.bitdefender.com/sp/login .

  • 服务提供商实体ID ——作为SAML断言目标受众的应用程序唯一标识符,亦称 受众URL GravityZone 的实体ID为 https://gravityzone.bitdefender.com/sp .

  • 名称ID格式 – 指身份提供商支持的格式。服务提供商与身份提供商通过用户相关的名称标识符进行通信。对于 GravityZone ,名称ID格式为 emailAddress .

    如果 名称ID 不是有效的电子邮件格式,GravityZone将尝试使用以下属性之一代替: email , mailhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress .

  • 单点注销URL – 注销响应发送的位置。对于 GravityZone ,单点注销URL为 https://gravityzone.bitdefender.com/sp/logout .

  • 服务提供商颁发者 – 这通常是实体ID,服务提供商使用此信息进行验证。对于 GravityZone ,单点登录URL为 https://gravityzone.bitdefender.com/sp/login .

您可以在 GravityZone 元数据URL文档中找到这些元素: https://gravityzone.bitdefender.com/sp/metadata.xml .

对于您的公司, GravityZone 元数据URL显示在 我的公司 > 认证 页面中的 GravityZone 控制中心 .

对于您管理的公司, GravityZone 元数据URL显示在 公司 页面的公司详情中。

有关如何配置特定身份提供者的详细信息,请参阅以下主题:

GravityZone

中启用SSO 配置身份提供者后,前往 控制中心 为公司和用户启用单点登录。只有属于已启用单点登录公司的用户才可选择通过身份提供商登录。

为公司启用单点登录

按以下步骤为公司启用单点登录:

  1. 控制中心 右上角点击 control_center_user_menu_icon.png 用户图标并选择 我的公司 .

  2. 认证 标签页下的 使用SAML的单点登录 部分,将身份提供商元数据URL填入对应字段。另一个保留给 GravityZone 元数据URL的字段不可编辑。

  3. 点击 保存 .

    gz_enable_sso_own_company_c_69938_en.png

为托管公司启用单点登录

按以下步骤为托管公司启用单点登录:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 公司 页面。

  3. 在表格中点击公司名称。

  4. 配置SAML单点登录 下,在相应字段中输入身份提供商元数据URL。另一个保留给 GravityZone 元数据URL的字段不可编辑。

  5. 点击 保存 .

    gz_enable_sso_for_managed_comp_c_69938_en.png

更改用户的认证方式

为公司启用SSO后, GravityZone 中该公司的用户账户即可更改其认证方式。

您可以逐个更改用户的认证方式,步骤如下:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 账户 页面。

  3. 在表格中点击用户名。

  4. 登录安全 下,前往 认证方式 并选择 通过身份提供商登录 .

  5. 点击 保存 .

    gz_authentication_method_c_69938_en.png

    您可以为任意数量的 GravityZone 用户启用SSO,但不能为您自己的管理员账户启用。

    注意

    如果某个 GravityZone 用户账户的配置页面未显示 设置与权限 部分,则可能该公司尚未启用SSO。

测试 GravityZone SSO

完成身份提供商和 GravityZone 的配置后,可按以下步骤测试单点登录:

  1. GravityZone .

  2. 从您的身份提供商(AD FS、Azure AD、Okta等)注销。

  3. 访问 https://gravityzone.bitdefender.com/ .

  4. 输入为测试创建的有效的电子邮件地址(非您 GravityZone 管理员账户的邮箱)。

  5. 点击 下一步 .

    您将被重定向至身份提供商的认证页面。

  6. 通过您的身份提供商进行认证。

    您将被重定向回 GravityZone ,片刻后,您应会自动登录到 控制中心 .

禁用 GravityZone 单点登录

若要为您的公司或您管理的公司禁用单点登录:

  1. 从该公司的配置页面删除身份提供商元数据URL。

  2. 点击 保存 并确认操作。

用户可通过点击 重置我的密码 选项(位于 控制中心 登录页面)并按照说明获取新密码。

若要重新启用 GravityZone 单点登录功能,请在该公司配置页面重新输入身份提供商信息并点击 保存 .

重新启用单点登录后,该公司下的用户将继续使用 控制中心 GravityZone 凭据登录。您需要手动逐个配置每个账户,才能再次通过身份提供商登录。

本节 :