SSO——单点登录概述
SSO(Single Sign-On,单点登录)是一种身份验证方式,允许用户使用同一组凭据(用户名和密码)登录多个应用程序或系统。这意味着,用户只需进行一次身份验证,即可访问通过 SSO 连接的不同服务或应用程序。
从客户的角度来看,SSO 特别具有吸引力,因为它使客户能够应用自身的安全策略,并在员工离职时减少管理工作量。
从 SprayVision 的角度来看,SSO 减少了我们这边对用户账户的管理需求,从而尽量减少诸如忘记密码或账户被锁定之类的问题。
关键术语
-
IDP(Identity Provider,身份提供商): 客户的身份提供系统(例如客户内部用于管理用户身份的系统,如 Microsoft Entra、Okta)。
-
SP(Service Provider,服务提供商): SprayVision,作为服务提供商
SSO 激活流程
要为特定工厂成功启用 SSO,需要与客户的 IDP 配合完成。该过程需要交换 XML 文件:
-
SprayVision 会先向客户的 IDP 提供初始 XML 文件,以便对方注册我们的服务。
-
随后,IDP 会返回一个 XML 文件,该文件将用于把客户的身份提供系统与我们的应用程序集成。
域名结构
启用 SSO 后,用户将通过专属自定义子域名访问其对应的环境,例如:
-
customer.spraycapture.app
-
customer.spraybrush.app
在此结构中:
-
三级域名(例如 “customer”)与特定工厂和对应的 IDP 关联。
-
二级域名(例如 “spraycapture.app” 或 “spraybrush.app”)表示用户在成功完成 SSO 身份验证后将被重定向到的产品。
SSO 账户行为
使用 SSO 账户的用户将无法再使用标准登录方式,包括双重身份验证(TFA)以及“忘记密码”功能。
SSO 总体说明
如果 SSO 工作流中出现任何无效状态,系统会将用户重定向到经典的 SprayCapture 登录页面。重定向后的 URL 中将包含一个错误代码,用于说明用户为何被重定向到标准登录页面。
如果用户遇到任何问题,并且需要了解 URL 中显示的错误代码含义,可通过 support@sprayvision.com 联系 SprayVision 支持团队以获取进一步协助。