跳到主要内容

单点登录

单点登录

单点登录(Single Sign-On,简称SSO)是一种身份认证机制,它允许用户在一次登录后,无需重复输入凭证即可访问所有相互信任的应用系统。SSO通过一个身份认证源(Identity Provider, IdP)来统一管理用户身份验证,用户登录成功后,IdP会颁发一个安全令牌(如Ticket或JWT),该令牌可在各个服务提供者(Service Provider, SP)之间传递和验证,从而实现无缝访问。这种机制显著提升了用户体验,减少了密码管理的负担,同时增强了安全性(如集中实施安全策略)。

如果您使用了例如 Microsoft Entra ID,Authing 等身份验证中心服务,为了方便您的用户管理和登录验证操作,腾讯电子签支持接入相关身份验证服务来进行控制台登录。

支持的单点登录协议

暂时只支持 OIDC 协议,更多协议支持正在开发中。

支持的身份验证中心

我们支持 Microsoft Entra ID,Authing,Okta 和其他使用标准的 OIDC 协议的IDP认证源使用单点登录登录腾讯电子签控制台。如果您在配置使用中遇到问题或者想确认您所使用的IDP认证源是否支持,欢迎咨询我们。

如何配置单点登录应用

一. 环境准备

在开始接入前,请先完成自建应用环境的搭建。具体操作请参考:腾讯电子签自建应用集成接入指南.

二. 接入步骤

1. 提前导入绑定的员工信息

接口功能对比总览
接口名称接口描述关键注意事项
创建单点登录企业员工信息用于创建(导入)单点登录企业员工信息。1. OpenId 不能重复。
2. 手机号不能重复。
3. 可绑定多个角色。
修改单点登录企业员工信息用于修改单点登录企业员工信息。仅能修改未与腾讯电子签实名绑定的员工信息。
查询单点登录企业员工信息用于查询单点登录企业员工信息。支持按 OpenId 列表精确查询,或使用分页参数查询全部。
删除单点登录企业员工信息用于删除单点登录企业员工信息。仅能删除未与腾讯电子签实名绑定的员工信息。
核心要点与工作流程总结

所有操作都围绕 SsoApplicationId(单点登录应用号)进行。这是管理不同单点登录应用的隔离标识。

​员工的两个状态与接口限制​
  • ​状态一:未实名绑定​ ​特征​:员工信息仅通过API导入,尚未在电子签完成个人实名认证和绑定。 ​可操作接口​:​全部四个接口均可使用。可以自由地创建、查询、修改、删除。
  • ​状态二:已实名绑定​ ​特征​:员工已通过单点登录链接进入电子签并完成实名认证,与其在电子签系统内的身份(UserId)绑定。 ​限制​: ​修改​ 和 ​删除​ 接口无法再用于此类员工。 需要更新信息时,需员工本人在电子签小程序内修改。 需要解除关系时,需企业管理员在电子签控制台对该员工执行 ​​“离职”​​ 操作。

2. 配置认证源信息

这里以微软 Microsoft Entra ID 的配置为例:

2.1 创建腾讯电子签单点登录应用 控制台入口 登录 腾讯电子签控制台,在『更多』- 『单点登录配置』中创建单点登录应用。输入应用名称后选择认证协议类型,当前仅支持OIDC协议,其他协议后续会开放支持。认证源选择您对应的IDP认证源。我们支持Microsoft Entra ID,Authing,Okta 和其他使用标准的 OIDC 协议的IDP认证源。 单点登录应用配置

保存后点击『应用配置』进行IDP参数配置。

2.2 根据微软IDP应用信息配置单点登录应用

微软 Microsoft Entra ID应用概述页面 登录微软 Azure 服务 Entra ID,点击左侧列表中的『应用注册』项进入应用管理页面,找到您想接入的应用,进入应用概述页面。上图已经为您按照序号标注了需要注意的位置。

  • IDP基本信息配置IDP配置 然后我们打开腾讯电子签单点登录应用配置详情,其中登录后回调电子签地址需要您配置到您IDP对应的回调地址中。对应微软IDP应用概述页面中的④号位置。单点登录地址则为您后续用来通过单点登录的方式登录腾讯电子签web控制台的登录地址。

单点登录回调地址在测试环境线上环境不同,上线时请将线上环境的单点登录地址也配置到您的IDP应用中。

IDP ClientIDIDP ClientSecret 对应微软IDP应用概述页面中的②和③位置。

请注意,Client_Secret 需要填写 SecretValue

  • 端点配置端点配置

然后我们看到端点配置,这里如果您的IDP支持服务发现链接的话,可以仅配置服务发现端口,我们将会自动拉取剩余所需要的端点链接。服务发现端口可以进入微软IDP应用概述页面中的①位置,OpenID Connect 元数据文档链接即是。 微软 Microsoft Entra ID终结点页面

对于用户匹配字段,默认是sub,您也可以根据您自己的业务配置为其他字段。

请注意,该字段需要能通过id_token或者用户信息端点查询到,且为非嵌套字符串类型字段。 请确保该字段的值的唯一性。否则可能出现身份混乱的问题。

  • 属性映射配置属性映射配置 如果您希望通过单点登录将您IDP中的员工信息传递到电子签中进行登录和实名,您可以在此进行属性映射配置。

我们支持三种用户属性:

  1. username: 用户姓名,需要为中文姓名。
  2. mobile: 用户手机号,需要为中国大陆手机号。
  3. email: 用户邮箱。

请注意,该字段需要能通过id_token或者用户信息端点查询到,且为非嵌套字符串类型字段。 如果您已经进行了员工导入,则此项可以不填,我们会通过您指定的用户唯一标识和导入的用户信息进行关联。

  • 高级配置高级配置

未匹配到员工时处理方式:当您想让只有导入的员工才能登录腾讯电子签时,可以配置此项为拒绝登录。否则将会按照您配置的属性映射以及下面的员工实名认证方式默认角色,自动引导进行单点登录的员工进行实名和加入企业,并赋予您设置的默认角色。

请注意,如果您同时导入了员工且配置了属性映射,将以您导入的信息为准。

2.3 测试单点登录 您可以通过单点登录地址进行单点登录。首次登录时,不管员工是否已经实名,都需要进行一次扫码身份验证或者运营商三要素的验证,验证通过后即可完成员工身份绑定。后续的登录将无需验证,直接登录至腾讯电子签控制台。