Quire 中的单一登录 (SSO) Permalink

AI 翻译
· 查看英文版

单一登录 (SSO) 仅适用于 Enterprise 方案。更多信息请参阅我们的定价页面

Quire 的单一登录 (SSO) 功能允许成员通过 SAML 2.0 协议经由集中式身份提供商 (IdP) 进行身份验证。支持的提供商包括 Okta、OneLogin、Azure AD B2C 及任何兼容 SAML 2.0 的 IdP。

SSO 概述

SSO 让用户无需单独管理 Quire 密码,直接通过身份提供商的一组凭据登录 Quire。

为您的 Quire 组织启用 SSO 后:

  • 成员通过公司身份提供商登录
  • 无需单独的 Quire 密码
  • 身份验证集中管理,安全性更高
  • 简化 IT 管理员的登录管理工作


Quire 支持 SAML 2.0 认证,兼容以下提供商:

  • Okta
  • OneLogin
  • Azure AD B2C
  • 任何支持 SAML 2.0 的 IdP


启用 SSO 后,组织成员将通过 IdP 登录,而无需使用 Quire 密码。

配置身份提供商 (IdP)

在 Quire 中启用 SSO 之前,需先完成身份提供商的配置。

第一步:创建 SAML 2.0 应用程序

  1. 登录身份提供商的管理控制台。
  2. 创建一个新的 SAML 2.0 应用程序。
  3. 填写以下 SAML 配置信息:
SAML 属性 映射到您的身份提供商
https://quire.io/sso/login 应用程序的 SAML 断言消费者服务 (ACS) URL
https://quire.io/sso/metadata 应用程序的 SP 实体ID
成员的邮箱地址 Name ID 格式

第二步:收集所需的 SAML 信息

创建应用程序后,复制以下信息:

  • 身分识别提供者网址
  • 实体ID
  • Base64 X.509 证书

第三步:在身份提供商中分配用户

  1. 将用户或群组添加到新创建的 Quire SAML 应用程序。
  2. 确保已分配相应的访问权限。


用户必须先在 IdP 中完成分配,才能通过 SSO 进行身份验证。

在 Quire 中配置 SSO

第一步:打开组织设置

  1. 点击组织名称旁的下拉菜单图标
  2. 选择选项

组织设置

第二步:启用 SAML 认证

  1. 进入安全选项卡。
  2. 开启 SAML认证

在 Quire 组织安全设置中启用 SAML 认证

第三步:输入 SAML 配置详情

  1. 粘贴身分识别提供者网址
  2. 输入实体ID
  3. 粘贴 Base64 X.509 证书
  4. 点击测试 SSO 验证配置。
  5. 验证成功后,点击保存

SAML 配置

必填与可选 SSO

SSO 可配置为以下两种模式:

  • 必填 – 所有成员必须通过 SSO 登录。
  • 可选 – 成员可选择使用密码或 SSO 登录。

注意: 组织管理员必须始终使用其 Quire 密码登录。

配置成功后,成员将无需再单独设置 Quire 密码。

Azure AD B2C 集成

第一步:设置 Azure AD B2C

  1. 登录 Azure 门户
  2. 创建自定义策略
  3. 注册 SAML 应用程序
  4. 配置用于身份验证的用户流。


详细设置步骤请参阅 Microsoft 官方文档。

第二步:配置 NameID 格式

Quire 要求 NameID 格式为以下之一:

  • userPrincipalName
  • email


请勿使用 objectId

如使用 userPrincipalName,需修改以下文件:

  • TrustFrameworkBase.xml
  • SignUpOrSigninSAML.xml


TrustFrameworkBase.xml 示例:

<!-- The following technical profile is used to read data after user authenticates. -->
<TechnicalProfile Id="AAD-UserReadUsingObjectId">
  <Metadata>
    <Item Key="Operation">Read</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
  </Metadata>
  <IncludeInSso>false</IncludeInSso>
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" Required="true" />
  </InputClaims>
  <OutputClaims>

    <!-- Optional claims -->
    <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="givenName" />
    <OutputClaim ClaimTypeReferenceId="surname" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" /> <!-- add -->
  </OutputClaims>
  <IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>


SignUpOrSigninSAML.xml 示例:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="SAML2"/>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="objectId"/>
      <OutputClaim ClaimTypeReferenceId="userPrincipalName" PartnerClaimType="userPrincipalName"/> <!-- add -->
    </OutputClaims>
    <SubjectNamingInfo ClaimType="userPrincipalName" ExcludeAsClaim="true"/> <!-- modify -->
  </TechnicalProfile>
</RelyingParty>


如需将格式改为 email,可参考此资源获取更多指导。

第三步:从 Azure 获取所需信息

完成设置后,收集以下信息:

  • 元数据 URL
  • 身分识别提供者网址
  • 实体ID
  • Base64 X.509 证书


以下是这些信息的示例格式:

  • 元数据https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/metadata
  • 身分识别提供者网址https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/login
  • 实体ID:在 TrustFrameworkExtensions.xml 中自行定义(<Item Key="IssuerUri">),例如 https://your-tenant.onmicrosoft.com/quire
  • Base64 X.509 证书:从元数据的 <X509Certificate> 中提取,例如 MIIDizCCAnOgAwIBAgIUU9ndt…


随后按照在 Quire 中配置 SSO 的步骤继续操作。

SSO 故障排查

若成员在 Quire 中更改了邮箱地址,在身份提供商中更新新邮箱之前,该成员将无法通过 SSO 登录。

解决方法:

  1. 在身份提供商中更新该成员的邮箱地址。
  2. 确保 NameID 与更新后的邮箱匹配。
  3. 请该成员重新尝试登录。

欢迎阅读我们博客中关于 Quire 单一登录的文章。

常见问题

Quire SSO 支持哪些身份提供商?

任何兼容 SAML 2.0 的 IdP,包括 Okta、OneLogin 和 Azure AD B2C。SSO 功能仅在 Enterprise 方案中提供。

如何在 Quire 中启用 SSO?

在 IdP 中使用 Quire 的 ACS URL(https://quire.io/sso/login)和实体ID(https://quire.io/sso/metadata)配置 SAML 2.0 应用程序,收集 IdP URL、实体ID 和证书,然后进入组织选项 > 安全选项卡,启用 SAML认证,粘贴上述信息,点击测试 SSO,最后保存。

能否将 SSO 设为我的 Quire 组织的必填或可选项?

可以。必填模式要求所有成员通过 IdP 登录;可选模式允许成员自行选择使用 Quire 密码或 SSO 登录。

组织管理员在 Quire 中是否也必须使用 SSO?

不需要。即使 SSO 对其他成员设为必填,管理员始终使用其 Quire 密码登录。

成员更改邮箱后无法通过 SSO 登录,应如何处理?

在身份提供商中更新该成员的邮箱地址,确保 NameID 与新地址匹配,该成员即可重新通过 SSO 登录。

Quire 对 Azure AD B2C SSO 要求使用哪种 NameID 格式?

请使用 userPrincipalNameemail,切勿使用 objectId,否则会导致认证失败。

客户端能否使用 Facebook 或 LinkedIn 等社交媒体账号登录 Quire?

可以,通过集成 Azure AD B2C 即可实现。支持的提供商包括 Facebook、X(前 Twitter)、LinkedIn、Microsoft 账号以及本地身份账号。

最后更新时间:

如需更多协助,请联系我们