安全断言置标语言 (SAML) 是一项标准,它根据用户在其他语境中的会话将用户登录到应用程序中。SAML 支持单点登录 (SSO),让用户可以使用一组凭据登录多个应用程序。
与使用用户名和密码登录相比,这种登录方式具有显著的优点。通过这种方式,用户不需要输入凭据,不需要记住和更新密码,也不必担心密码安全性弱的问题。大多数组织已经知道用户的身份,因为用户会登录这些组织的 Active Directory 域或内部网。使用这些信息将用户登录到其他应用程序(如网页应用程序),同样是习以为常的操作,而使用 SAML 则是更加便捷的一种方法。
有关 SAML 的更多信息,请阅读以下部分。
SAML/SSO 工作原理
SAML 单点登录 (SSO) 的工作原理是将用户的身份从身份提供商传输到服务提供商。该登录流程通过交换数字签名的 XML 文档来完成。思考以下情景:用户登录某一系统,该系统属于身份提供商。用户希望登录远程应用程序,比如 KnowBe4 学员实践或其他服务提供商。
在此情景中,执行以下步骤:
- 用户可使用企业内部网、书签或类似选项,点击应用程序的链接。然后,加载该应用程序。
- 该应用程序请求进行身份验证,从而识别用户的来源并将用户跳转回身份提供商。为了识别用户的来源,该应用程序会使用应用程序子域、用户 IP 地址或类似信息。这是身份验证请求。
- 用户要么已经与身份提供商建立了会话,要么通过登录身份提供商来建立会话。
- 身份提供商通过含用户的用户名或电子邮件地址的 XML 文档,构建身份验证响应。然后,身份提供商使用 X.509 证书来签署文档,并将这些信息发布给服务提供商。
- 服务提供商检索身份验证响应,并使用证书指纹来确认该响应。服务提供商已经知道身份提供商并拥有证书指纹。用户的身份建立完成。
有关 SAML 和 SSO 工作原理的更多基本信息,请参阅 auth0 的文章什么是 SAML 以及 SAML 身份验证如何运作。
学员实践 (LX) 的 SAML 运作流程
KnowBe4 可支持 SAML 2.0。SAML 在 KnowBe4 学员实践 (LX) 中的运作流程与 SAML 在所有其他服务提供商中的一样。通常,一家组织的用户身份验证会由该组织所选的身份验证系统进行托管,比如 Active Directory (AD) 或轻型目录访问协议 (LDAP)。这些身份验证系统被称为身份提供商。
服务提供商(在本例中为 LX)让身份提供商可以对用户进行身份验证,然后将用户登录到 LX 中。换句话说,用户可以在工作时登录并自动访问所在组织的应用程序(如电子邮件或客户关系管理 (CRM) 系统),而无需单独登录这些服务。这样不仅能为用户提供便利,而且所有用户身份验证均由您所完全控制的系统进行内部处理。
在您将 SAML 启用为 LX 的单点登录 (SSO) 类型之后,尝试登录 LX 的用户将跳转至 SAML 服务器进行身份验证。用户的身份可以存储在 SAML 服务器上,也可通过身份目录(如 Microsoft Active Directory 或轻型目录访问协议 (LDAP))进行验证。身份验证完成后,用户即可跳转回 LX 并自动登录。
为您的组织设置 SAML/SSO
KnowBe4 可支持 SAML 2.0。若想在 KSAT 控制台上启用 SAML 集成,请参阅文章如何为您的 SSO 提供商启用 SAML 单点登录。
如果您的 SAML 提供商并未列出,而且您需要帮助,请联系我们的支持团队寻求帮助。