使用流程及原理

基本流程

1. 在BDP中创建账号，无账号用户无法使用单点登录进入BDP
   1. 创建账号可在账号权限后台或使用OpenAPI在身份验证时动态创建
   2. BDP账号与企业内部用户信息独立，有独立的登录密码，可通过标准入口登录
2. 完成配置，单点登录仅对BDP超级管理员开放
   1. 超级管理员在开发者中心的“配置管理”中进入“单点登录”进行设置
   2. 一个企业可配置多种SSO方式，相当于多个登录入口，互不影响
3. 从指定入口发起登录，使用对应的登录链接访问BDP，如未登录内部平台跳转至内部登录页
4. 单点登出设置，可选设置，在外部系统的退出服务中调用BDP的登出接口即可

工作原理

SAML（安全断言标记语言）是一种 XML 开放标准，SAML2.0和自定义接口都基于这种协议。SAML用于在服务提供者（SP，Service Provider，这里指BDP）和身份提供者(IdP，Identity Provider，这里指企业内部或第三方的身份验证系统) 之间交换身份验证信息。

用户通过IDP发起登录时，将使用IDP的进行身份验证，验证通过后跳转至BDP。如果IDP身份未得到验证，你的用户将被导航至IDP的登录界面先进行登录验证，通过后跳转至BDP。

1 单点登录流程

下图为用户在使用单点登录访问BDP时，对用户进行身份验证的步骤：

1. 用户从指定单点登录链接访问BDP，链接中中带企业域信息。
2. BDP发现用户未登录，转发请求至IDP进行身份验证。
3. IDP处也未登录，展示IDP登录界面，请求用户名和密码。
4. IDP处登录成功，将用户信息返回给BDP。
5. 收到登录用户请求，并通过用户信息找到对应用户，成功登录到BDP。

2 单点登录的登出流程

下图为退出IDP系统同时退出BDP的验证步骤：

1. 用户在IDP系统中注销账户，IDP首先通知BDP注销
2. BDP收到注销请求，登出当前用户
3. IDP在发送注销BDP通知后，注销自身的登录状态