# 启用 SAML 单点登录

账户管理员可以启用 [SAML 单点登录（SSO）](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) 供账户用户通过受支持的身份提供商（IDP）或通过唯一登录链接访问您品牌的 impact.com 账户。请选择您偏好的方法。

SAML SSO 通过与您的身份提供商建立连接来使用 impact.com。目前 impact.com 支持以下提供商：

* AD FS
* Okta
* OneLogin
* Microsoft Entra ID

#### 启用 SAML SSO

{% hint style="warning" %}
**警告：** 如果您已经启用了 SAML SSO 并希望切换提供商，则需要我们的技术服务团队提供帮助。在您 [提交工单](https://impact.atlassian.net/servicedesk/customer/portal/6/group/1088)之前，请确保将现有的 IDP 元数据文件保存到本地设备，并准备好需要迁移的用户名列表。
{% endhint %}

{% stepper %}
{% step %}

#### **步骤 1：上传 IDP 元数据文件**

在开始之前，请确保您已准备好 **IDP 元数据文件** （XML 格式）——此文件需要上传到 impact.com。

1. 从顶部导航栏中选择 ![](https://1186853034-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-1183576591b45997efe4dc81a25024640591d02a%2F245137dc972a7a7f6165b59538fcdbac8fd5bd8fee4ba9f20c1a2982c5b58b57.svg?alt=media) **\[用户资料] → 设置**. 
2. 在左侧栏中，在 *常规，* 下选择 **账户用户身份验证**.
3. 在 *身份验证类型* 这一行旁边，选择 ![](https://1186853034-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-b5e1740618ed6571d97b8fed7c25a7678f85d375%2F299632fb6f4f91fbf9847471754cc6180e4284a65b4960af4c4ea472a159f552.svg?alt=media) **\[复选框] SAML** 并使用 ![](https://1186853034-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-df93ac0f80fc5cece7983980a5ce3fbcf19aabce%2F3ef9d737089bc07dbb7e4fd41a97edfbaec261e4f55ab3a1666f3daf957f69c3.svg?alt=media) **\[下拉菜单]** 来选择您的身份提供商。
4. 使用文件选择器查找并 **上传您的 XML 元数据文件**.
5. 在屏幕底部，选择 **保存**.

   <div data-with-frame="true"><figure><img src="https://1186853034-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-d95efdb6cd2b7d870e402a7245be6d5b30d6b542%2F8c68969149f47881e416573435b0f7fdd6067e71b50b8d7ab87fe78b9c070d5b.png?alt=media" alt="" width="563"><figcaption></figcaption></figure></div>

{% endstep %}

{% step %}

#### **步骤 2：为账户用户启用 SAML SSO**

以下说明需要对将使用 SAML SSO 的每个单独用户执行：

1. 从顶部导航栏中选择 ![](https://1186853034-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-1183576591b45997efe4dc81a25024640591d02a%2F245137dc972a7a7f6165b59538fcdbac8fd5bd8fee4ba9f20c1a2982c5b58b57.svg?alt=media) **\[用户资料] → 设置**.&#x20;
2. 在左侧栏中，转到 *常规* 并选择 **账户用户**.
3. 将光标悬停在某个用户上并选择 **\[更多] → 编辑访问权限**
4. 在 *用户注册方式* 部分中，选择 **SAML**.
5. 在展开面板底部，选择 **保存**.

   <div data-with-frame="true"><figure><img src="https://1186853034-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-a2b902e77831e90a91fd00189da9380f553b8a2c%2Ff13eaf5a71eeffb85357cca2e1c6326ce8b5c61d50e1c6e93d167b79b848a59e.png?alt=media" alt="" width="563"><figcaption></figcaption></figure></div>

{% endstep %}

{% step %}

#### **步骤 3：通过 SAML SSO 配置用户登录**

用户可以通过以下 2 种方式使用 SAML SSO 访问 impact.com：

* **通过您的身份提供商（IDP）** — 在您的 IDP 中配置连接/连接器，并使用它来登录用户。
* **通过您品牌的唯一登录链接** — 适用于不通过 IDP 连接登录的用户。

**选项 A：身份提供商登录**

* **OneLogin** — 在 OneLogin 中，找到 *Impact Partnership Cloud* 连接，位于 *OneLogin 应用目录* 中，并按照屏幕上的说明启用和配置该应用。
* **ADFS、Okta 和 Microsoft Entra ID** — 使用以下精确值创建一个新的自定义连接：

  | 字段                          | 要输入的值                             |
  | --------------------------- | --------------------------------- |
  | 单点登录 URL / 回复 URL / ACS URL | <https://app.impact.com/saml/SSO> |
  | 接收者 URL                     | <https://app.impact.com/saml/SSO> |
  | 目标 URL                      | <https://app.impact.com/saml/SSO> |
  | 受众限制                        | <https://app.impact.com>          |
  | 名称 ID 格式                    | EmailAddress                      |
  | 响应                          | 已签名                               |
  | 断言签名                        | 已签名                               |
  | 签名算法                        | RSA\_SHA1                         |
  | 摘要签名                        | SHA1                              |
  | 断言加密                        | 未加密                               |
  | SAML 单点注销                   | 已禁用                               |
  | AuthnContextClassRef        | PasswordProtectedTransport        |
* **Microsoft Entra ID** — 使用以下精确值创建一个新的自定义连接：

  | 字段                             | 要输入的值                             |
  | ------------------------------ | --------------------------------- |
  | 回复 URL（断言消费者服务 URL）            | <https://app.impact.com/saml/SSO> |
  | 回复 URL（隐式）                     | <https://app.impact.com/saml/SSO> |
  | 标识符（实体 ID）                     | <https://app.impact.com>          |
  | 名称标识符格式（高级设置 → “名称标识符格式”）      | EmailAddress                      |
  | 响应签名选项（签名 SAML 响应）             | 已签名                               |
  | 签名 SAML 断言（选项）                 | 已签名                               |
  | 签名算法                           | RSA\_SHA1                         |
  | 摘要算法                           | SHA1                              |
  | 加密证书（可选）                       | 未加密                               |
  | 单点注销 URL                       | 已禁用                               |
  | 默认 AuthnContextClassRef（未直接显示） | PasswordProtectedTransport        |

您输入的值必须与上面提供的值完全一致。例如，请不要在 *单点登录 URL / 回复 URL / ACS URL* 字段后添加如下尾随斜杠： `https://app.impact.com/saml/SSO`**`/`**，并且不要输入多个 URL 值。另请确保您 IDP 中用户的电子邮件地址与 impact.com 中该用户的电子邮件地址完全一致。

**选项 B：品牌链接登录**

如果用户不是通过您的 IDP 登录，他们可以使用一个唯一的品牌登录链接来访问您的 impact.com 账户。要获取此登录链接：

1. 从顶部导航栏中选择 ![](https://1186853034-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwMLlMoFBtKJa8ptd3zaw%2Fuploads%2Fgit-blob-1183576591b45997efe4dc81a25024640591d02a%2F245137dc972a7a7f6165b59538fcdbac8fd5bd8fee4ba9f20c1a2982c5b58b57.svg?alt=media) **\[用户资料] → 设置**.&#x20;
2. 在左侧栏中，在 *品牌设置*，选择 **广告主登录品牌设置**.
   * 您的品牌链接看起来会类似于这样： `https://app.impact.com/abe/Stark-Industries12345678912345/login.user?preview=t`
3. 从 *登录链接* 字段中，复制并保存该链接 *登录链接* 以分发给您的 impact.com 账户成员。

{% hint style="warning" %}
**重要：** 此品牌登录链接唯一的用途是让用户在不使用您的 IDP 时直接登录 impact.com。请勿将此链接输入到您 IDP 的 *单点登录 URL / 回复 URL / ACS URL* 字段中。
{% endhint %}
{% endstep %}
{% endstepper %}