HELP FILE
手动配置单点登录
将组织的组织用户配置为与用户帐户关联后,可以通过外部身份提供程序 (IdP) 为用户配置基于 SAML 的单点登录 (SSO)。IdP 可以是 Active Directory 联合身份验证服务 (ADFS) 等服务、OneLogin、Okta、Azure 等第三方服务或自定义解决方案。配置后,您的用户可以从身份提供程序的 Web 站点登录,也可以使用 LogMeIn 登录窗体中的 使用我的公司 ID 链接从 LogMeIn 产品的 Web 站点登录。
返回到“单点登录”
我们提供面向以下产品的特定文档:
许多 身份和访问管理供应商都提供 LogMeIn 专用的文档以配置 SSO。
对于其他供应商或自定义 SAML IdP,下面的信息可以在配置中提供帮助。
每一方获取了与执行 SAML 单点登录的合作伙伴有关的必要元数据时,即建立了两个信赖方之间的信任关系。在每个依赖方一端,可以自动或手动输入 LogMeIn 的配置信息,具体取决于 IdP 提供的界面。
在 IdP 端引入 LogMeIn SAML 服务的元数据时,系统可能会向您提供用于通过元数据添加新服务提供程序的选项。在这种情况下,只能使用以下数据填充元数据 URL 字段:
https://login.citrixonline.com/saml/sp
如果您的 IdP 要求手动输入信息,则需要手动输入 LogMeIn 元数据的各部分内容。IdP 可能会要求您输入不同的信息,或者将这些字段命名为其他名称,具体取决于您的 IdP。下面是开始时应输入的部分配置值(如果您的 IdP 要求输入)。可能有需要输入的其他值,具体取决于您的 IdP 是否支持 RelayState 功能。
- EntityID - LogMeIn SAML 服务的 entityID 为元数据 URL。IdP 有时可能会称其为 IssuerID 或 AppID。
https://login.citrixonline.com/saml/sp - 听众 - 这是 LogMeIn SAML 服务的 EntityID。IdP 可能会称其为“听众限制”。应将其设置为:
https://login.citrixonline.com/saml/sp - 单注销 URL - 来自 IdP 的注销请求或注销响应的目标位置:
https://login.citrixonline.com/saml/SingleLogout - NameID 格式 - 要在断言中返回的使用者标识符类型。LogMeIn SAML 服务的预期格式:
EmailAddress
通过 IdP 启动的登录访问产品时,某些 IdP 支持 RelayState 功能,通过该功能,您可以直接将用户拖动到希望其在上面登录的特定 LogMeIn 产品。要配置此功能,应相应设置以下字段(如果您的 IdP 配置请求)。某些 IdP 将这些字段命名为其他名称。我们已在可能的位置包括了某些 IdP 对这些字段所使用的备用名称。
- Assertion Consumer Service URL - 身份验证响应(包含断言)被返回到的 URL。IdP 还可能会称其为 ACS URL、回发 URL、答复 URL 或单点登录 URL。
- 收件人
- 目标位置
如果您的 IdP 支持 RelayState 功能,则应使用以下 URL 填充上面的所有字段(请填写您的 IdP 请求填写的字段,并非所有 IdP 都要求填写所有字段):
https://login.citrixonline.com/saml/acs
随后可以设置一个每产品 RelayState,以允许从您的 IdP 应用程序对话框路由到不同的产品。下面是要为 LogMeIn 产品设置的 RelayState 值:
- GoToMeeting
https://global.gotomeeting.com - GoToWebinar
https://global.gotowebinar.com - GoToTraining
https://global.gototraining.com - OpenVoice
https://global.openvoice.com - GoToAssist (Remote Support/Service Desk/Monitoring)
https://app.gotoassist.com
如果您的 IdP 不支持 RelayState 功能,则没有要设置的 RelayState 值。请改为按照产品将上面的 ACS 值(ACS URL、收件人、目标位置)设置为以下值:
- GoToMeeting
https://login.citrixonline.com/saml/global.gotomeeting.com/acs - GoToWebinar
https://login.citrixonline.com/saml/global.gotowebinar.com/acs - GoToTraining
https://login.citrixonline.com/saml/global.gototraining.com/acs - OpenVoice
https://login.citrixonline.com/saml/global.openvoice.com/acs - GoToAssist (Remote Support/Service Desk/Monitoring)
https://login.citrixonline.com/saml/app.gotoassist.com/acs
在 IdP 端手动配置 LogMeIn SAML 服务时,系统可能会向您显示某些其他选项。下面是系统可能会向您显示的潜在选项列表以及应将其设置为的值。
- Sign assertion or response(签名断言或响应)
- 激活此选项,LogMeIn SAML 服务要求响应上存在 IdP 的签名。
- Encrypt assertion or response(加密断言或响应)
- 停用此选项,当前 SAML 服务不处理加密的断言。
- Include SAML Conditions(包括 SAML 条件)
- 激活此选项,SAML Web SSO 配置文件要求激活此选项。这是一个 SecureAuth 选项。
- SubjectConfirmationData Not Before(SubjectConfirmationData 不早于)
- 停用此选项,SAML Web SSO 配置文件要求停用此选项。这是一个 SecureAuth 选项。
- SAML Response InResponseTo(SAML 响应 InResponseTo)
- 激活此选项。这是一个 SecureAuth 选项。