使用标准计划时，UID 工作区配备了谷歌和微软的 SAML 单点登录功能。这项功能允许用户使用这两个身份提供者的凭证登录 UID。如果启用，用户可在 UID 凭证登陆下看到谷歌或微软登陆的选项。

• 为 UID 设置谷歌 SSO
• 为 UID 设置微软 SSO
• 自定义 SAML 身份提供者

---

为 UID 设置谷歌 SSO

---

为 UID 设置谷歌 SSO：

1.登录谷歌管理控制台：https://admin.google.com，并导航到 应用程序（Apps）> SAML 应用程序（SAML Apps）。

2.进入 添加应用程序（Add App）> 添加自定义 SAML 应用程序（Add custom SAML app），提供所要求的应用程序详细信息，并点击继续。

3.下载 IdP 元数据，您将在第 5 步中需要此文件。

4.登录 UID 并进入 UID 云（UID Cloud）> 安全（Security）> 身份提供者（Identity Provider），点击 谷歌（Google） 集成。

5.通过更改 状态 启用谷歌集成并上传在步骤 3 中下载的 元数据文件。单击 保存（Save）。 暂时不要关闭此页面。

6.回到谷歌管理控制台，使用步骤 5 中 UID 身份提供者的信息，在服务提供商详情页中填写 ACS URL 和 实体 ID。点击 继续（Continue）。

7.进入 属性映射（Attribute mapping） 部分，点击 添加映射（Add Mapping） 按钮添加这三个值，如下所示。

谷歌目录属性	应用程序属性
主要邮箱	email
名	first_name
姓	last_name

点击 完成（Finish） 来保存你的设置。

启用谷歌 SSO：

1.在谷歌管理网站上，进入应用详情页，展开 用户访问（User access） 部分。

2.选择 为所有人开启（ON for everyone）来启用 IdP。 如果您只想为特定的 UID 组织启用，请使用左侧的组织单位下拉菜单进行选择。

3.单击 保存（Save） 完成。

注意：您会收到来自谷歌的警告，所有用户最多可能需要 24 小时才能看到谷歌登录选项。

---

为 UID 设置微软 SSO

---

为 UID 设置微软 SSO：

1.登录微软管理控制台：https://portal.azure.com/。

2.在左边的导航面板上，进入 菜单（Menu）> Azure 活动目录（Azure Active Directory）> 企业应用程序（Enterprise applications）。

3.在应用程序类型中，选择 所有应用程序（All applications），并点击 新的应用程序（New application）。

4.单击 创建您自己的应用程序（Create your own application），输入所需信息。 完成后单击 创建（Create）。

• 提供应用程序的名称
• 选择非图库（Non-gallery）选项

注意：如果此过程后没有显示应用程序，请刷新网页。

5.选择 单点登录（Single sign-on）> SAML。 暂时不要关闭此页面。

6.登录 UID 并转到 UID 云（UID Cloud）> 安全（Security）> 身份提供者（Identity Providers ） 并选择 微软（Microsoft）。

7.生成身份（实体 ID） 并打开 状态 开关以启用 微软集成。 暂时不要关闭此页面。

8.转至 Microsoft Azure > 使用 SAML 设置单点登录（Set up Single Sign-On with SAML） 页面并 编辑基本 SAML 配置数据，将默认值替换为以下内容：

• 见上一个 UID 页面，回复 URL（断言消费者服务 URL）
• 见上一个 UID 页面显示的 实体 ID
• 使用 https://login.uid.alpha.ui.com 中继状态（Relay State）
• 单击 保存（Save）。

9.从 SAML 签名证书 部分下载 联合元数据 XML 文件。

10.返回 UID 云（UID Cloud）> 微软（Microsoft） 集成页面并上传 联合元数据 XML。单击 保存（Save）。

11.返回 微软 Azure（Microsoft Azure）> 使用 SAML 设置单点登录（Set up Single Sign-On with SAML ） 页面的 编辑用户属性和声明（Edit the User Attributes & Claims） 部分。

12.单击 添加新声明（Add new claim） 以添加以下每个声明：

Name	Source	Source Attribute
Email	Attribute	user.mail
First_name	Attribute	user.givenname
Last_name	Attribute	user.surname

注意：你不需要填写名称空间字段。

要启用微软的 SSO

1.进入 微软 Azure（Microsoft Azure）> 用户和组（Users and groups）> 添加用户（Add user）。

2.选择 用户（Users），并点击 选择（Select） 将其全部加入。

注意：您可以通过转到 微软 Azure（Microsoft Azure）> 单点登录（Single Sign-on） 并选择 测试（Test）> 以当前用户身份登录（Sign in as current user） 来测试配置是否成功。

配置完成后，步骤 2 中分配列表的任何用户都能够在登录 UID 时使用微软 SSO。

---

自定义 SAML 身份提供者

---

设置自定义 SAML 身份提供者：

1.登录 UID 管理器门户并导航到 安全（Security）> 身份提供者（Identity Providers）> 选择身份提供者（Identity Provider） 选项卡以展开。

2.单击 添加身份提供者（Add Identity Provider）。

3.在 添加身份提供者（Add Identity Provider） 页面上，选择类型为 SAML IdP （SAML IdP as Type） 并填写其余字段。 单击 保存（Save）。

1. 怎样填写 SAML IdP 字段？
   • 名称：输入身份提供者的名称。
   • 状态：打开切换开关以启用身份提供者。
   • 协议：SAML 2.0 是当前支持的协议。
   • 身份（实体 ID） 和 回复 URL（断言消费者服务 URL）：这些是默认生成的。 将这些内容复制并粘贴到身份提供者中，以获取此页面以下字段的数据：IdP 颁发者 URI（实体 ID）、IdP 单点登录 URL 和 IdP 签名证书。
   • IdP 颁发者 URI（实体 ID）：提供值的身份提供者。
   • IdP 单点登录 URL：来自身份提供者的登录 URL。
   • IdP 签名证书：单击以上传来自用于签署声明的身份提供者的证书。

4. 保存该配置后，添加的身份提供者将出现在 身份提供者 标签中。