# 启用 SAML 单点登录

账户管理员可以启用 [SAML 单点登录 (SSO)](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) 以便账户用户通过受支持的身份提供商 (IDP) 或通过唯一登录链接访问您的品牌的 impact.com 账户。请选择您偏好的方式。

SAML SSO 通过与您的身份提供商建立连接来使用 impact.com。目前 impact.com 支持以下提供商：

* AD FS
* Okta
* OneLogin
* Microsoft Entra ID

#### 启用 SAML SSO

{% hint style="warning" %}
**警告：** 如果您已经启用了 SAML SSO 并希望切换提供商，您将需要我们的技术服务团队协助。在您 [提交工单](https://impact.atlassian.net/servicedesk/customer/portal/6/group/1088)之前，请确保将现有的 IDP 元数据文件保存到本地设备，并准备一份需要迁移的用户名列表。
{% endhint %}

{% stepper %}
{% step %}
**第 1 步：上传 IDP 元数据文件**

开始之前，请确保您手头有 **IDP 元数据文件** 的 .XML 格式文件——此文件需要上传到 impact.com。

1. 从顶部导航栏中选择 ![](/files/1cbb667ec4878308f24ec4acd13cbf03ede0bdfe) **\[用户资料] → 设置**.
2. 在左侧栏中，在下方 *常规，* 选择 **Account User Authentication**.
3. 在 *身份验证类型* 条目中，选择 ![](/files/48509e0f0c9ae68203294f8aae7777211a4315e1) **\[复选框] SAML** 并使用 ![](/files/0d8f59fc04ae8ae212757b90433e2a454cdfdbe6) **\[下拉菜单]** 以选择您的身份提供商。
4. 使用文件选择器查找并 **上传您的 .XML 元数据文件**.
5. 在屏幕底部，选择 **保存**.

   <div data-with-frame="true"><figure><img src="/files/e6d192b9f05b8d8e74ab3e90077c2bf4eb84da75" alt="" width="563"><figcaption></figcaption></figure></div>

{% endstep %}

{% step %}
**第 2 步：为账户用户启用 SAML SSO**

以下说明需要对每一位将使用 SAML SSO 的单个用户完成：

1. 从顶部导航栏中选择 ![](/files/1cbb667ec4878308f24ec4acd13cbf03ede0bdfe) **\[用户资料] → 设置**.
2. 在左侧列中，转到 *常规* 并选择 **账户用户**.
3. 将光标悬停在某个用户上并选择 **\[更多] → 编辑访问权限**
4. 在 *用户注册方式* 部分下，选择 **SAML**.
5. 在弹出侧栏的底部，选择 **保存**.

   <div data-with-frame="true"><figure><img src="/files/9a929744e807eb6770e9c7f86ae54bd7dac0d540" alt="" width="563"><figcaption></figcaption></figure></div>

{% endstep %}

{% step %}
**第 3 步：通过 SAML SSO 配置用户登录**

用户可以通过以下 2 种方式使用 SAML SSO 访问 impact.com：

* **通过您的身份提供商 (IDP)** — 在您的 IDP 中配置连接/连接器并使用它来登录用户。
* **通过您品牌的唯一登录链接** — 适用于未通过 IDP 连接登录的用户。

**选项 A：身份提供商登录**

* **OneLogin** — 在 OneLogin 中，找到 *Impact Partnership Cloud* 连接，在 *OneLogin 应用目录* 中按屏幕说明启用并配置该应用。
* **ADFS、Okta 和 Microsoft Entra ID** — 使用以下准确值创建一个新的自定义连接：

  | 字段                          | 要输入的值                             |
  | --------------------------- | --------------------------------- |
  | 单点登录 URL / 回复 URL / ACS URL | <https://app.impact.com/saml/SSO> |
  | 接收方 URL                     | <https://app.impact.com/saml/SSO> |
  | 目标 URL                      | <https://app.impact.com/saml/SSO> |
  | 受众限制                        | <https://app.impact.com>          |
  | Name ID 格式                  | EmailAddress                      |
  | 响应                          | 已签名                               |
  | 断言签名                        | 已签名                               |
  | 签名算法                        | RSA\_SHA1                         |
  | 摘要签名                        | SHA1                              |
  | 断言加密                        | 未加密                               |
  | SAML 单点登出                   | 已禁用                               |
  | AuthnContextClassRef        | PasswordProtectedTransport        |
* **Microsoft Entra ID** — 使用以下准确值创建一个新的自定义连接：

  | 字段                             | 要输入的值                             |
  | ------------------------------ | --------------------------------- |
  | 回复 URL（断言消费者服务 URL）            | <https://app.impact.com/saml/SSO> |
  | 回复 URL（隐式）                     | <https://app.impact.com/saml/SSO> |
  | 标识符（实体 ID）                     | <https://app.impact.com>          |
  | 名称标识符格式（高级设置 → “名称标识符格式”）      | EmailAddress                      |
  | 响应签名选项（签署 SAML 响应）             | 已签名                               |
  | 签署 SAML 断言（选项）                 | 已签名                               |
  | 签名算法                           | RSA\_SHA1                         |
  | 摘要算法                           | SHA1                              |
  | 加密证书（可选）                       | 未加密                               |
  | 单点登出 URL                       | 已禁用                               |
  | 默认 AuthnContextClassRef（不直接显示） | PasswordProtectedTransport        |

您输入的值必须与上面提供的值完全一致。例如，请不要在 *单点登录 URL / 回复 URL / ACS URL* 字段末尾添加斜杠，类似这样： `https://app.impact.com/saml/SSO`**`/`**，并且不要输入多个 URL 值。另请确保您在 IDP 中的用户电子邮件地址与 impact.com 中该用户的电子邮件地址完全一致。

**选项 B：品牌链接登录**

如果用户不是通过您的 IDP 登录，他们可以使用唯一的品牌登录链接访问您的 impact.com 账户。要获取此登录链接：

1. 从顶部导航栏中选择 ![](/files/1cbb667ec4878308f24ec4acd13cbf03ede0bdfe) **\[用户资料] → 设置**.
2. 在左侧栏中，在下方 *品牌设置*下，选择 **广告主登录品牌设置**.
   * 您的品牌链接看起来会与此类似： `https://app.impact.com/abe/Stark-Industries12345678912345/login.user?preview=t`
3. 从 *登录链接* 字段，复制并保存该 *登录链接* 以便分发给您的 impact.com 账户成员。

{% hint style="warning" %}
**重要：** 此品牌登录链接的唯一用途是在用户不使用您的 IDP 时，允许他们直接登录 impact.com。请不要将此链接输入到您 IDP 的 *单点登录 URL / 回复 URL / ACS URL* 字段中。
{% endhint %}
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://help.impact.com/brand/zh/what-would-you-like-to-learn-about/account-administration/account-settings/invite-and-manage-users/enable-saml-single-sign-on.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.