单点登录集成
SmartLink充当身份提供者(IdP),支持OpenID Connect和SAML2协议,可轻松连接您的应用程序。本节包含了配置与各种热门应用程序进行单点登录(SSO)的详细指南。
支持的协议
OpenID Connect
OpenID Connect是基于OAuth 2.0的现代身份验证协议。它特别适用于现代云应用程序,并提供简单且安全的集成。
OpenID Connect端点:
- 配置:
https://[your-smartlink].link.vaultys.org/api/oidc/[appid]/.well-known/openid-configuration - 授权端点:
https://[your-smartlink].link.vaultys.org/api/oidc/[appid]/authorize - 令牌端点:
https://[your-smartlink].link.vaultys.org/api/oidc/[appid]/token - 用户信息端点:
https://[your-smartlink].link.vaultys.org/api/oidc/[appid]/userinfo - JWKS URI:
https://[your-smartlink].link.vaultys.org/api/oidc/[appid]/jwks - 发行者:
https://[your-smartlink].link.vaultys.org
注意: 请将
[your-smartlink]替换为您的SmartLink子域,[appid]替换为在SmartLink中配置的应用程序标识符。
SAML2
SAML2是用于单点登录的成熟标准,在企业环境中被广泛使用。
SAML2元数据:
- 实体ID:
https://[your-smartlink].link.vaultys.org - SSO URL:
https://[your-smartlink].link.vaultys.org/api/saml2/sso/[appid] - IdP元数据:
https://[your-smartlink].link.vaultys.org/api/saml2/[appid]/metadata - SLO URL:
https://[your-smartlink].link.vaultys.org/api/saml2/slo/[appid]
注意: 请将
[your-smartlink]替换为您的SmartLink子域,[appid]替换为在SmartLink中配置的应用程序标识符。
支持的应用程序
云和协作解决方案
Nextcloud
开源协作和云存储平台。通过OpenID Connect的Social Login插件进行配置。
GitLab
完整的DevOps平台,支持OpenID Connect和SAML2用于企业身份验证。
Trello
通过Atlassian Access(企业版)的SAML 2.0进行项目管理和协作。
Notion
一体化工作空间,用于笔记和协作,支持SAML 2.0(企业版)。
Monday.com
工作管理平台,支持SAML 2.0和OpenID Connect(企业版)。
基础设施和网络
Tailscale
使用OpenID Connect的现代Mesh VPN,支持WebFinger以实现简化配置。
Headscale
用于Tailscale的开源控制服务器,支持OpenID Connect身份验证。
Portainer
用于Docker/Kubernetes容器管理的界面,支持OAuth2/OpenID Connect。
监控和可观察性
Grafana
监控和可观察性解决方案,原生支持OpenID Connect。
生产力和沟通
Mattermost
开源团队消息平台,支持SAML2和OpenID Connect。
Rocket.Chat
统一通信解决方案,支持OAuth2和SAML2。
BlueMind
完整的法国协作邮件解决方案,支持SAML 2.0和OpenID Connect。
Talkspirit
法国协作平台,支持SAML 2.0和OpenID Connect。
Whaller
法国企业社交网络,支持SAML 2.0。
Jamespot
法国数字工作平台,支持SAML 2.0。
CRM和营销
HubSpot
CRM和营销自动化平台,支持SAML 2.0(企业版)。
人力资源和薪资解决方案
Lucca
完整的法国人力资源信息系统套件(Figgo,Pagga,Timmi),支持SAML 2.0和OpenID Connect。
Silae
法国薪资解决方案,支持SAML 2.0。
Eurécia
法国人力资源软件,支持SAML 2.0。
文件管理
Alfresco
企业内容管理平台,支持SAML 2.0和OpenID Connect。
Wimi
项目和文档管理平台,支持SAML 2.0。
电子商务
PrestaShop
电子商务平台,提供SSO SAML 2.0和OpenID Connect模块。
管理和行政
Keycloak
身份代理,可通过SAML2或OpenID Connect与SmartLink链接。
Authentik
身份验证和授权平台,支持身份联合。
一般配置
在配置特定应用程序之前,请确保:
- 在SmartLink中创建应用程序 - 参考SSO通用指南添加您的应用程序
- 配置身份验证类型 - 根据应用程序选择OpenID Connect或SAML2
- 定义重定向URL - 配置授权后的允许重定向URL
- 分配用户/组 - 管理谁可以访问应用程序
所需信息
对于OpenID Connect
- 客户端ID:在SmartLink中的应用程序的唯一标识符
- 客户端密钥:用于应用程序身份验证的秘钥
- 重定向URI:身份验证后的重定向URL
- 范围:通常为
openid profile email
对于SAML2
- 实体ID:服务提供者的唯一标识符
- ACS URL:断言消费者服务URL
- 证书:用于断言签名的X.509证书
- 属性映射:SmartLink属性与应用程序之间的对应关系
支持和故障排除
常见问题
"无效的重定向URI"
- 确保在SmartLink和应用程序中的重定向URL完全相同
- 注意尾部斜杠和协议(http与https)
"客户端凭证无效"
- 检查客户端ID和客户端密钥
- 确保应用程序在SmartLink中已激活
"用户未授权"
- 确保用户已分配到应用程序
- 如适用,检查组权限
日志和调试
身份验证日志可在SmartLink中找到:
- SSO日志:管理 > 日志 > SSO
- 用户事件:用户配置文件 > 活动
要在应用程序端启用详细日志,请参阅各应用程序的特定文档。