了解睿译宝的 SSO 单点登录配置要求,包括 SAML 协议支持和邮箱域名自动发现机制。
睿译宝支持通过 SSO(Single Sign-On,单点登录)方式集成企业现有的身份认证系统,让员工使用统一的企业账号登录平台。
睿译宝使用 SAML 2.0 协议实现 SSO 集成。配置 SSO 连接时需要提供以下信息:
SSO 配置中的核心机制是邮箱域名自动发现:
SSO 连接需要由 组织管理员 配置。以下是典型的配置流程:
睿译宝兼容主流身份提供商:
SSO 认证流程
1
用户输入邮箱
用户在登录页面输入企业邮箱,系统根据邮箱域名自动匹配 SSO 连接配置。
2
跳转到 IdP
匹配成功后,系统生成 SAML 认证请求,将用户重定向到企业的身份提供商(IdP)。
3
IdP 认证
用户在 IdP 完成身份验证(如输入企业账号密码、二次认证等)。
4
回调完成登录
IdP 认证成功后,通过 SAML ACS 端点将认证结果(session_id)回传给 睿译宝,平台验证后完成登录。
SAML 协议要求
睿译宝使用 SAML 2.0 协议实现 SSO 集成。配置 SSO 连接时需要提供以下信息:
| 配置项 | 说明 |
|---|---|
| IdP 元数据 | 身份提供商的 SAML 元数据 URL 或 XML 文件 |
| SSO 登录 URL | IdP 的单点登录服务地址 |
| 证书 | IdP 用于签名 SAML 断言的 X.509 证书 |
| 实体 ID | IdP 的唯一标识符 |
睿译宝作为 SAML 服务提供商(SP),会提供 SP 元数据和 ACS URL 供企业 IT 管理员在 IdP 侧完成配置。
邮箱域名自动发现
SSO 配置中的核心机制是邮箱域名自动发现:
- 管理员在配置 SSO 连接时绑定一个或多个邮箱域名(如
@company.com) - 用户登录时输入邮箱后,系统自动根据邮箱域名查找匹配的 SSO 连接
- 如果找到匹配的连接,自动引导用户进入 SSO 登录流程
配置步骤
SSO 连接需要由 组织管理员 配置。以下是典型的配置流程:
1
获取 SP 信息
从 睿译宝获取 SP 元数据 URL 和 ACS 回调地址,提供给企业 IT 团队。
2
在 IdP 侧配置
企业 IT 管理员在身份提供商(如 Azure AD、Okta、OneLogin 等)中创建 SAML 应用,填入 SP 信息。
3
在 睿译宝配置
组织管理员 在睿译宝录入 IdP 元数据、SSO URL 和证书信息,并绑定邮箱域名。
4
测试验证
使用绑定域名的邮箱登录,验证 SSO 流程是否正常工作。
常见 IdP 支持
睿译宝兼容主流身份提供商:
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- ADFS (Active Directory Federation Services)
- 其他支持 SAML 2.0 协议的 IdP
故障排查
SSO 登录失败的常见原因
SSO 登录失败的常见原因
| 问题 | 可能原因 | 解决方式 |
|---|---|---|
| 未跳转到 IdP | 邮箱域名未绑定 SSO 连接 | 联系 组织管理员 检查域名绑定 |
| IdP 认证后报错 | ACS URL 配置错误 | 检查 IdP 侧的 ACS URL 是否正确 |
| 回调后登录失败 | 证书过期或不匹配 | 更新 IdP 证书配置 |
| 提示「缺少 session_id」 | SAML 响应异常 | 检查 IdP 的 SAML 断言配置 |