联邦单点登录
为什么切换到单点登录(SSO)?
- 增强的安全
- 降低管理成本
- 改善用户体验
当新用户使用SSO登录到Bazaarvoice Portal时,用户帐户将使用您的企业身份提供者(IdP)基本设置自动创建。
接下来会发生什么?
- 您将不再需要在Portal中手动设置用户帐户。将自动为您组织中首次使用SSO登录到Portal的用户创建新用户帐户。
- 用户配置文件将填充来自您的企业IdP帐户的信息。
- 您的Bazaarvoice帐户将与您的企业IdP相关联,以便您可以通过您的企业IdP帐户更新用户凭据(名称或密码)。您只需要管理一组凭据。
SSO的设置
要将您的IdP与Bazaarvoice SSO集成,请完成以下步骤。
向您的身份提供者添加SSO应用程序
- 登录到您的企业IdP帐户,如Azure AD、Okta或Ping。
- 给您的SSO应用程序一个描述性的名称,例如“P&G Bazaarvoice SSO”。然后系统将提示您添加SSO应用程序详细信息。暂时添加虚拟凭证。注意:您将需要在设置向导的第4步中添加实际的SAML值(在设置过程中提供)。
在设置过程中,Bazaarvoice提供了登录用户属性,您必须将其映射到您的企业IdP属性。这些将根据您的IdP有所不同:
Azure AD映射
Ping One映射关系
Okta映射
- (可选)设置组访问您的IdP门户(如果适用)。将所有需要访问Bazaarvoice Portal的用户添加到该用户组。注意:这个小组的成员将在他们的个人码头上看到Bazaarvoice平台,一旦启用,就可以通过单点登录登录到Bazaarvoice解决方案。
创建一个新的SSO配置
开始:
- 登录到Bazaarvoice门户.
- 从传送门菜单在左上角,选择用户和权限.注意:只有帐户管理员可以访问用户和权限.
- 选择单点登录选项卡。
- 选择创建SSO配置在右上角。5步SSO设置向导将指导您完成以下任务:
- 配置设置
- 基本权限
- 标识提供程序设置
- SAML协议设置
- 电子邮件域
五步的向导
要完成五步向导,请按照本视频或后面的书面步骤进行操作。
步骤1:添加配置细节
添加您的SSO配置细节:
- 指定唯一的配置名称。
选择您的身份提供者,例如Okta。如果您的IdP未列出,请选择其他.
步骤2:分配基本权限
分配基本权限任何您的Bazaarvoice产品的详细信息。必威手机版本此步骤将为域内所有新创建的用户应用基本级别的权限。
- 在以下部分设置基本权限:
- 门户的权限
- 基本实例——选择用户可以访问的实例。
- 基本解决方案—选择用户可以访问的Bazaarvoice解决方案。
- 基本门户角色——为用户分配基本角色。只有在分配解决方案时才会出现角色。
注意:在未来的版本中,您还可以选择为Social Commerce和Workbench设置基本权限。 - 选择保存并继续.注意:新用户第一次使用SSO登录时,将使用这些基本设置自动创建一个新帐户。您将不再需要手动创建新用户(与您的域名)。如有必要,这些帐户随后可以被编辑。
步骤3:复制标识提供程序设置
- 复制发行人URI从您的IdP帐户,并将其粘贴到标识提供程序颁发者URI字段。例如:https://your-idp.endurancecycles.com。
- 复制SP-initiatedSSO URL(不是IdP发起的SSO URL),并将其粘贴到标识提供程序颁发者URI字段。例如:https://your-idp.endurancecycles.com/your-idp-path/。警告:为避免配置错误,请确保您复制和粘贴的发行人URI和SSO URL.
- 上载由贵公司IdP签发的有效及最新的x.509证书标识提供程序设置.注意:这个x.509证书是一个文本文件,用于验证用户的身份和IdP。必须是有效的文件类型,如:.pem, .cer, .crt, .cert, .der, .p7b, .p7c, .p12。
步骤4:复制SAML协议设置
- 方法复制SAML协议设置复制按钮,并将它们粘贴到企业IdP的配置部分。
- 将前面输入的虚拟ACS和URI值替换为以下SAML协议值:
- ACS(断言消费者服务)URI
- 观众URL
- 中继默认状态
- 确认您已完成此步骤,请勾选“我已将上述信息添加到我的IdP配置部分”旁边的复选框。
选择保存并继续.
步骤5:添加和验证电子邮件域
您现在将添加并验证您的电子邮件域名,例如,endurancecycles.com。
- 属性添加您的域加域链接。
- 验证您的域名。
- 要测试或启用配置,必须至少验证一个域。
- 验证令牌将自动填充,允许您创建一个. txt记录下面是域列表表。
- 复制此令牌并将其添加到域的DNS设置中。
注意:根据您的域名提供商的不同,验证您的域名可能需要几个小时到几天的时间。返回此页以检查您的域是否已通过验证。 - 测试您的配置。
- 一旦有了至少一个经过验证的域,就可以测试和启用配置了。
- 通过选择测试您的配置测试配置.然后,您将被从Bazaarvoice门户网站签出,并被重定向到门户网站登录页面,在那里您将使用您的企业电子邮件地址登录门户网站。
注意:如果测试成功,您将直接返回到设置向导。如果有问题,您可以使用您的用户名和密码正常登录。 - 启用您的配置。若要为组织中的每个人启用配置,请选择完成.警告:一旦您的配置被启用,您将不再能够测试它。
编辑SSO配置
更新您的配置:
- 如果您已经成功地为您的配置启用了SSO,使用FSSO登录到门户.如果您还没有完成设置并为您的配置启用SSO,用您的用户名和密码登录.
- 从传送门菜单在左上角,选择用户和权限>单点登录.这时会出现一个列出SSO配置的表。的状态列将显示四个标签之一:
- 草案—已创建该配置,但尚未完成五步向导。
- 测试—您已经启动了此配置的测试流,目前正在测试中。
- 启用-您已成功完成安装,现在可以使用此配置以SSO登录。
- 禁用—此配置不能再用于SSO登录。
- 从列表视图中,选择要编辑的SSO配置。出现配置详细信息页面。
- 在以下任何部分中进行所需的更改:
- 配置设置-编辑您的配置名称。
- 基本权限-编辑所有产品仅分配给新用户的最低访问权限级别。必威手机版本
- SAML协议设置复制提供的SAML协议设置,并将其添加到IdP的帐户配置中。
- 域验证-添加或禁用域。
提示:如果您想更改您的身份提供程序,我们建议使用新的IdP设置一个新的配置。 - 选择更新配置以保存更改。
关闭SSO配置
禁用IdP配置:
- 登录到Bazaarvoice门户.
- 从传送门菜单在左上角,选择用户和权限.
- 选择单点登录选项卡。将出现SSO配置列表。
- 从列表视图中,选择要禁用的SSO配置。出现配置详细信息页面。
- 要为所有人(其电子邮件与此SSO配置中的企业电子邮件域匹配)停用SSO,请选择删除.注意:属性创建新密码。如果禁用配置,该域中的所有现有用户将需要使用忘记了密码链接登录。
管理用户和权限
帐户管理员可以通过Portal管理公司的用户和访问权限(Bazaarvoice解决方案)。
在用户和权限,帐户管理员可以执行以下操作:
- 查看用户状态—用户被分配到以下状态之一:激活、锁定、已供应、恢复或挂起。
- 更新用户帐户您可以修改Bazaarvoice解决方案、实例和分配的角色权限字段。
- 禁用用户-如果你禁用用户,他们将不再有访问Bazaarvoice解决方案的权限,并被分配暂停状态。
- 查看用户帐号-在公司IdP帐户中被禁用的联邦用户仍可能出现在列表视图中,但无法登录。
不能使用属于活动单点登录(SSO)联邦域的电子邮件地址创建新帐户。当用户第一次通过企业IdP登录Bazaarvoice时,将自动创建新的用户帐户。
常见问题
不。启用后,您将无法再使用现有的Bazaarvoice密码登录Portal。相反,您必须通过IdP登录。
当新用户使用SSO登录到Portal时,将使用IdP的默认设置中的配置文件信息自动创建用户帐户。
用户在更改电子邮件地址前,应先与客户服务经理联系。当用户使用新的电子邮件地址登录时,将创建一个新的用户帐户(使用即时配置)。该用户以前的权限将合并到新帐户中。
是的。联邦用户可以从Portal中手动删除。但是,不建议这样做。删除用户后,所有审计历史记录将丢失。此外,被删除的用户将在首次通过IdP登录时重新创建。若要完全删除用户,必须删除其IdP凭据。
您的Bazaarvoice帐户现在与您的公司IdP相关联,因此您可以使用您公司的凭证访问Bazaarvoice解决方案。更新您的企业IdP帐户的名称或密码,您的Bazaarvoice Portal帐户将自动更新。
从传送门菜单中,选择用户和权限.选择您的姓名以查看您的帐户详细信息、访问权限和分配的角色。请注意,您只能以帐户管理员的身份查看该页。
如果您没有被分配帐户管理员角色,请登录到门户,转到您的配置文件分页并单击查看管理员看看谁能给你分配这个职位。
要更改域,请按照中的步骤访问配置详细信息页面编辑SSO配置部分。导航到电子邮件域部分,在那里您将看到您的域名列表。要更改域,请选择要更改的域旁边的垃圾桶图标,然后选择加域链接以添加更新后的域。
要验证您的域,请转到电子邮件域部分的配置设置。Bazaarvoice将为您提供一个令牌,允许您创建一个. txt记录.然后将其添加到域的DNS设置中。完成验证所需的时间长短取决于您的域提供商。
如果您无法验证您的任何域名,请联系Bazaarvoice客户服务你的CSM或TSM。
不。但是,如果您删除了其中一个域,并需要在稍后阶段重新添加它,则需要生成. txt记录再一次。