HELP FILE

手动配置单点登录

将组织的组织用户配置为与用户帐户关联后，可以通过外部身份提供程序 (IdP) 为用户配置基于 SAML 的单点登录 (SSO)。IdP 可以是 Active Directory 联合身份验证服务 (ADFS) 等服务、OneLogin、Okta、Azure 等第三方服务或自定义解决方案。配置后，您的用户可以从身份提供程序的 Web 站点登录，也可以使用 LogMeIn 登录窗体中的 使用我的公司 ID 链接从 LogMeIn 产品的 Web 站点登录。

返回到“单点登录”

我们提供面向以下产品的特定文档：

• Active Directory 联合身份验证服务 v2.0
• Active Directory 联合身份验证服务 v3.0

许多 身份和访问管理供应商都提供 LogMeIn 专用的文档以配置 SSO。

对于其他供应商或自定义 SAML IdP，下面的信息可以在配置中提供帮助。

每一方获取了与执行 SAML 单点登录的合作伙伴有关的必要元数据时，即建立了两个信赖方之间的信任关系。在每个依赖方一端，可以自动或手动输入 LogMeIn 的配置信息，具体取决于 IdP 提供的界面。

在 IdP 端引入 LogMeIn SAML 服务的元数据时，系统可能会向您提供用于通过元数据添加新服务提供程序的选项。在这种情况下，只能使用以下数据填充元数据 URL 字段：

https://login.citrixonline.com/saml/sp

如果您的 IdP 要求手动输入信息，则需要手动输入 LogMeIn 元数据的各部分内容。IdP 可能会要求您输入不同的信息，或者将这些字段命名为其他名称，具体取决于您的 IdP。下面是开始时应输入的部分配置值（如果您的 IdP 要求输入）。可能有需要输入的其他值，具体取决于您的 IdP 是否支持 RelayState 功能。

• EntityID - LogMeIn SAML 服务的 entityID 为元数据 URL。IdP 有时可能会称其为 IssuerID 或 AppID。
         https://login.citrixonline.com/saml/sp
• 听众 - 这是 LogMeIn SAML 服务的 EntityID。IdP 可能会称其为“听众限制”。应将其设置为：
          https://login.citrixonline.com/saml/sp
• 单注销 URL - 来自 IdP 的注销请求或注销响应的目标位置：
          https://login.citrixonline.com/saml/SingleLogout
• NameID 格式 - 要在断言中返回的使用者标识符类型。LogMeIn SAML 服务的预期格式：
            EmailAddress

通过 IdP 启动的登录访问产品时，某些 IdP 支持 RelayState 功能，通过该功能，您可以直接将用户拖动到希望其在上面登录的特定 LogMeIn 产品。要配置此功能，应相应设置以下字段（如果您的 IdP 配置请求）。某些 IdP 将这些字段命名为其他名称。我们已在可能的位置包括了某些 IdP 对这些字段所使用的备用名称。

• Assertion Consumer Service URL - 身份验证响应（包含断言）被返回到的 URL。IdP 还可能会称其为 ACS URL、回发 URL、答复 URL 或单点登录 URL。
• 收件人
• 目标位置

如果您的 IdP 支持 RelayState 功能，则应使用以下 URL 填充上面的所有字段（请填写您的 IdP 请求填写的字段，并非所有 IdP 都要求填写所有字段）：
              https://login.citrixonline.com/saml/acs

随后可以设置一个每产品 RelayState，以允许从您的 IdP 应用程序对话框路由到不同的产品。下面是要为 LogMeIn 产品设置的 RelayState 值：

• GoToMeeting
           https://global.gotomeeting.com
• GoToWebinar
           https://global.gotowebinar.com
• GoToTraining
           https://global.gototraining.com
• OpenVoice
            https://global.openvoice.com
• GoToAssist (Remote Support/Service Desk/Monitoring)
            https://app.gotoassist.com

如果您的 IdP 不支持 RelayState 功能，则没有要设置的 RelayState 值。请改为按照产品将上面的 ACS 值（ACS URL、收件人、目标位置）设置为以下值：

• GoToMeeting
            https://login.citrixonline.com/saml/global.gotomeeting.com/acs
• GoToWebinar
            https://login.citrixonline.com/saml/global.gotowebinar.com/acs
• GoToTraining
            https://login.citrixonline.com/saml/global.gototraining.com/acs
• OpenVoice
             https://login.citrixonline.com/saml/global.openvoice.com/acs
• GoToAssist (Remote Support/Service Desk/Monitoring)
             https://login.citrixonline.com/saml/app.gotoassist.com/acs

在 IdP 端手动配置 LogMeIn SAML 服务时，系统可能会向您显示某些其他选项。下面是系统可能会向您显示的潜在选项列表以及应将其设置为的值。

• Sign assertion or response（签名断言或响应）
  • 激活此选项，LogMeIn SAML 服务要求响应上存在 IdP 的签名。
• Encrypt assertion or response（加密断言或响应）
  • 停用此选项，当前 SAML 服务不处理加密的断言。
• Include SAML Conditions（包括 SAML 条件）
  • 激活此选项，SAML Web SSO 配置文件要求激活此选项。这是一个 SecureAuth 选项。
• SubjectConfirmationData Not Before（SubjectConfirmationData 不早于）
  • 停用此选项，SAML Web SSO 配置文件要求停用此选项。这是一个 SecureAuth 选项。
• SAML Response InResponseTo（SAML 响应 InResponseTo）
  • 激活此选项。这是一个 SecureAuth 选项。