使用流程及原理
基本流程
- 在BDP中创建账号,无账号用户无法使用单点登录进入BDP
- 创建账号可在账号权限后台或使用OpenAPI在身份验证时动态创建
- BDP账号与企业内部用户信息独立,有独立的登录密码,可通过标准入口登录
- 完成配置,单点登录仅对BDP超级管理员开放
- 超级管理员在开发者中心的“配置管理”中进入“单点登录”进行设置
- 一个企业可配置多种SSO方式,相当于多个登录入口,互不影响
- 从指定入口发起登录,使用对应的登录链接访问BDP,如未登录内部平台跳转至内部登录页
- 单点登出设置,可选设置,在外部系统的退出服务中调用BDP的登出接口即可
工作原理
SAML(安全断言标记语言)是一种 XML 开放标准,SAML2.0和自定义接口都基于这种协议。SAML用于在服务提供者(SP,Service Provider,这里指BDP)和身份提供者(IdP,Identity Provider,这里指企业内部或第三方的身份验证系统) 之间交换身份验证信息。
用户通过IDP发起登录时,将使用IDP的进行身份验证,验证通过后跳转至BDP。如果IDP身份未得到验证,你的用户将被导航至IDP的登录界面先进行登录验证,通过后跳转至BDP。
1 单点登录流程
下图为用户在使用单点登录访问BDP时,对用户进行身份验证的步骤:
- 用户从指定单点登录链接访问BDP,链接中中带企业域信息。
- BDP发现用户未登录,转发请求至IDP进行身份验证。
- IDP处也未登录,展示IDP登录界面,请求用户名和密码。
- IDP处登录成功,将用户信息返回给BDP。
- 收到登录用户请求,并通过用户信息找到对应用户,成功登录到BDP。
2 单点登录的登出流程
下图为退出IDP系统同时退出BDP的验证步骤:
- 用户在IDP系统中注销账户,IDP首先通知BDP注销
- BDP收到注销请求,登出当前用户
- IDP在发送注销BDP通知后,注销自身的登录状态