配置身份提供商（IdP）信息

您需要先配置身份提供商信息，然后才能啟用單點登錄。

1. 登錄云SSO控制臺。

2. 在左側導航欄，單擊設置。

3. 在SSO登錄的身份提供商（IdP）信息區域，單擊配置身份提供商信息。

4. 在配置身份提供商信息對話框，選擇上傳元數據文檔或手動配置，然后配置身份提供商信息。

   以下兩種方式您可以任選其一進行配置，相關元數據文件或配置信息請從身份提供商處獲取。

   • 上傳元數據文檔

     單擊上傳文件，上傳身份提供商元數據文件。

   • 手動配置

     • Entity ID：身份提供商標識。

     • 登錄地址：身份提供商登錄地址。

     • 證書：身份提供商用于SAML響應簽名的證書，支持PEM格式的X509證書。您可以單擊上傳證書，上傳身份提供商的證書。

5. 單擊確定。

更新身份提供商（IdP）信息

當單點登錄處于開啟或禁用狀態時，您都可以更新身份提供商信息。但在開啟狀態下更新時，如果新配置的身份提供商信息與原有的信息不匹配，可能會導致用戶單點登錄失敗，請謹慎操作。

1. 在SSO登錄的身份提供商（IdP）信息區域，單擊配置身份提供商信息。

2. 在配置身份提供商信息對話框，選擇配置方式，然后修改配置信息、重新上傳證書或元數據文件等，最后單擊確定。

清空身份提供商（IdP）信息

當單點登錄處于禁用狀態時，您可以清空身份提供商信息。單點登錄處于開啟狀態時，不能執行該操作。

1. 在SSO登錄的身份提供商（IdP）信息區域，單擊清空身份提供商信息。

2. 在清空身份提供商信息對話框，單擊確定。

輪轉SAML簽名證書

身份提供商（IdP）SAML簽名證書建議定期輪換，您可以在IdP舊證書過期之前，提前上傳新證書。當用戶進行單點登錄時，云SSO會分別使用新舊兩個證書驗證SAML簽名，只要有一個驗證通過，此次登錄就是可信的。證書輪轉一段時間，觀察并確認新證書生效，舊證書不再使用之后，您可以刪除舊證書。

1. 在SSO登錄的身份提供商（IdP）信息區域，單擊SAML簽名證書右側的管理。

2. 在證書對話框，輪轉SAML簽名證書。

   1. 單擊上傳新的證書，上傳從企業IdP獲取的新證書。

   2. 確認企業IdP開始使用新證書對SAML響應進行簽名，之后嘗試單點登錄到云SSO用戶門戶，確保可以正常登錄。

   3. 證書輪轉一段時間，觀察并確認新證書生效，舊證書不再使用之后，您可以單擊舊證書操作列的刪除，刪除舊證書。

   4. 單擊確定，完成SAML簽名證書輪轉。

獲取服務提供商（SP）元數據

您在外部IdP中配置單點登錄時需要使用SP元數據文檔，您可以在SSO登錄的服務提供商（SP）信息區域，單擊下載SP元數據文檔，下載SP元數據文檔。同時，您也可以查看或復制ACS URL、Entity ID，直接用于外部IdP的手動配置。

管理服務提供商（SP）可信CA簽發證書

云SSO提供云SSO自簽名證書和可信CA簽發證書兩種。默認使用云SSO自簽名證書，如果企業對SP簽名證書有可信CA簽發要求的，可以申請可信CA簽發證書。

可信CA簽發證書支持的算法

SP元數據中包含有兩個證書，分別是簽名證書和斷言加密證書。其支持的算法如下：

• 簽名證書：SHA1、SHA256。

• 斷言加密證書：TRIPLEDES、AES-128、AES-256、AES128-GCM。

可信CA簽發證書有效期

可信CA簽發證書有效期為1年，即每年需要輪轉一次。具體的到期時間，請以控制臺界面顯示為準。

啟用可信CA簽發證書

在SSO登錄的服務提供商（SP）信息區域，打開元數據使用可信CA簽發證書開關，即可啟用可信CA簽發證書。

啟用可信CA簽發證書后，會自動禁用云SSO自簽名證書。

輪轉可信CA簽發證書

在證書過期前的80天進入輪轉期，云SSO控制臺將提示您更換證書，直至證書失效。在輪轉期內，新舊證書都有效，建議您在輪轉期內盡早更新證書。

1. 在SSO登錄的服務提供商（SP）信息區域，下載使用最新可信CA簽發證書的SP元數據文檔。

2. 在企業IdP中，同時配置新舊兩個證書。

3. 在企業IdP中，嘗試只使用新證書，驗證企業IdP與云SSO的單點登錄是否正常。

   如果正常，您就可以嘗試刪除舊證書。當然，您也可以保留舊證書，不影響單點登錄。

啟用單點登錄

當您完成身份提供商信息配置后，就可以啟用單點登錄。

1. 在SSO登錄區域，打開單點登錄開關。

2. 在啟用SSO登錄對話框，單擊確定。

禁用單點登錄

1. 在SSO登錄區域，關閉單點登錄開關。

2. 在禁用SSO登錄對話框，單擊確定。