注意: SAML SSO 仅在企业版计划中可用,可以由工作区的所有者或管理员设置。
什么是 SAML SSO?
单点登录(SSO)是一项技术,允许最终用户通过身份提供商(IdP)管理的单个授权点访问多个应用程序。 通过SSO,用户只需在单一页面上输入一次登录凭证,即可访问所有应用程序。
使用SSO具有以下优势:
通过允许最终用户一次登录即可访问所有许可的应用程序和资源,提高用户体验
通过使工作区管理员对用户可以访问的应用程序和资源有更多可见性和控制,简化用户管理
通过限制攻击媒介,实施密码策略,并利用身份提供商中的多因素认证等附加措施,提高安全性
通过在身份提供商中使用即时(Just-in-Time, JIT)配置,简化对所有支持应用的用户配置(即将推出)
Ahrefs的SSO服务基于SAML 2.0(安全断言标记语言),它是交换认证和授权数据的领先行业标准。 在授权过程中,身份提供商和Ahrefs之间不会传输实际密码。 相反,Ahrefs接收到经过数字签名的用户身份的SAML断言,此断言在有限时间内有效。
设置SAML SSO
注意: Ahrefs支持团队可以引导您完成该过程。 请联系我们,如果您在设置过程中遇到任何困难。
从Ahrefs检索您的Assertion Consumer Service (ACS) URL
转到账户设置,然后选择SAML单点登录。
点击启用SAML单点登录按钮以打开SAML SSO 配置窗口。
点击复制按钮,位于Assertion Consumer Service (ACS) URL字段旁。
您将在下一步中需要此URL以将Ahrefs应用程序添加到您的身份提供商(IdP) 请注意,一些身份提供商可能要求您提供SAML 发布者,也称为实体ID。 这是一种标识Ahrefs作为服务提供商发出SAML请求的唯一字符串。 您可以在SAML SSO配置窗口中找到此字符串。
将Ahrefs添加到您的身份提供商中
由于该过程将取决于特定的身份提供商,我们建议您参考身份提供商提供的参考资料。 以下是您在身份提供商中设置SAML SSO时可能遇到的一些字段的Ahrefs要求:
名称ID格式必须是电子邮件
响应必须是已签名
请求必须是未签名的
签名算法必须是RSA (PKCS #1 v1.5)
断言必须是未加密
当您将Ahrefs应用程序添加到您的身份提供商时,该提供商将提供一个元数据XML文件,Ahrefs将用来连接到您的身份提供商并验证用户在登录时。
将身份提供商的元数据XML添加到Ahrefs
在将Ahrefs添加到您的身份提供商之后,接下来您会将SSO的元数据信息添加到Ahrefs中。
转到账户设置,然后选择SAML单点登录。
开启启用SAML单点登录以打开SAML SSO 配置窗口,您需要在此完成设置。
在身份提供商元数据XML字段中输入身份提供商发出的XML内容。
如果XML元数据有效,您可以保存更改。 这样,SAML SSO将自动为您的工作区启用,您的最终用户将可以通过SAML SSO以外的其他认证方法登录,例如电子邮件和密码凭证。
强制执行SAML SSO
一旦您完成您的SAML SSO配置,您的最终用户将能够通过SAML SSO以外的其他认证方法登录,例如电子邮件和密码凭证。
为了确保用户只能使用SAML SSO登录,而不能使用其他方法,请将认证方法更新为仅限SAML SSO。
请注意,工作区的所有者和管理员将始终能够使用他们的电子邮件和密码凭证登录。 这是为了确保在身份提供商或SAML故障的情况下,他们可以访问您的公司工作区。
通过SCIM配置用户
跨域身份管理系统(SCIM)是一套开放标准协议,允许第三方身份提供商在您组织的Ahrefs工作区内管理用户。 一旦启用SCIM,任何在您身份提供商中分配给Ahrefs应用程序的用户将自动添加到您的Ahrefs工作区。 如果用户在身份提供商中被从Ahrefs应用程序中解除分配,他们将被从您的Ahrefs工作区中移除。
请联系Ahrefs的支持团队以引导您启用SCIM以适配您的身份提供商。