Unmind单点登录SSO基于SAML。设置SSO后,您的员工可使用您选择的身份提供商IdP无缝访问Unmind。例如: Okta、Microsoft Azure AD、Ping identity、OneLogin等。
Unmind提供服务提供商SP发起的SSO。
Unmind的技术团队可为新客户或现有客户配置SSO。
SSO选项
为您的公司启用SSO后,您有2个主要的配置方式选项:
- 仅SSO - 所有员工都必须使用公司SSO登录,才能通过网络浏览器或移动应用程序访问Unmind。这是我们的推荐选项。
- 混合模式 - 每位员工都可以选择使用公司SSO登录或使用用户名+密码登录,但只能使用一种方法。员工可以从用户名+密码的登录方式切换到SSO方式,但不能再切换回来。
即时(JIT)用户配置
当新员工使用SSO访问Unmind时,我们将自动即时创建他们的账户。无需事先上传符合条件的用户名单。
配置SSO
Unmind需要您的公司提供建立SSO SAML连接的技术信息:
- 您公司的身份提供商的SAML登录页面URL。例如 https://yourcompany.youridentityprovider.com/1234/sso/saml
- x509证书
通常可以从您的技术团队提供的URL获取,
例如 https://yourcompany.youridentityprovider.com/1234/sso/saml/metadata
Unmind将向您的公司提供设置SSO的技术信息:
Unmind将建立SAML连接,并为您的技术团队提供SAML元数据端点。例如https://auth.unmind.com/samlp/metadata?connection=your_company
这将为您提供以下关键属性
- 实体ID
- 验证签名详细信息
- ACSURL
- Unmind的x509证书
- 注销URL
透明背景的Unmind徽标图像。这可以添加到您的公司应用程序门户,同时添加将员工导向Unmind SSO登录页面的URL,例如https://yourcompany.unmind.com/sso
SAML响应签名
默认为SHA256,但如果需要,我们也支持SHA1。
其他SSO设置细节
有关员工的以下用户信息必须包含在SAML断言声明类型中。
- 必填属性(又称SAML_Subject、主键、登录名、应用程序用户名格式等)-NameID:通常是员工的电子邮件地址(但如果是唯一标识符,也可以是员工ID)。
其他属性
- given_name: user.firstname
- family_name: user.lastName
- email: user.email(如适用)