概述

Branch 为操作后台 (Dashboard)提供了安全性声明标记语言（SAML）/单点登录（SSO）支持。这使您可以使用 identity provider（IdP）集中访问团队中的各种服务，并利用现有的目录系统和安全组。

先决条件

Branch 操作后台 (Dashboard) 的单点登录是一项付费功能。
Branch 可与 Okta 和 OneLogin 配合使用，并且与所有支持 SAML 的身份提供程序兼容。
- For Okta, you may follow the dedicated guide here

Branch 操作后台 (Dashboard)的SSO将对指定电子邮件域的访问限制到特定的操作后台 (Dashboard)子域。当您准备使用时请与您的客户经理联系，并请提供：

您和您的团队使用的电子邮件域 ，并且需要通过SSO登录。
The Branch dashboard subdomain you would like your team to use to log in. For example, if you chose company, then your dashboard subdomain would be https://company.dashboard.branch.io。
The email addresses of any SSO admins that will be allowed to configure SAML for your team. These SSO admins will also be allowed to log in both via SSO and via regular dashboard login after SSO is enabled so that you have a fallback option to gain access to your account if the configuration goes wrong in some way. These users must also be admins in your Branch dashboard. Please verify that the requested SSO admin users are also present/added with an admin role in your Branch dashboard.

以下是您的 IdP 要求您填写的一些初始信息：

IdP 字段	值
平台	Web
登入方式	SAML 2.0
应用名称	Branch
商标	在这里下载
ACS URL	`https://<subdomain>.dashboard.branch.io/sso/callback`
Entity ID or Audience URI	`https://<subdomain>.dashboard.branch.io`
SP metadata	无

🚧
SSO 名称 ID 格式
Branch 仅支持基本或未指定的 SSO 名称 ID格式。

一旦完成，您的 IdP 将为您提供需添加到操作后台 (Dashboard)上的信息用来启用 SSO。

当您添加 Branch 时，您的 IdP 应为您提供Identity provider Entity ID，Identity provider SSO URL和Public x509 certificate 。从 “Branch 操作后台 (Dashboard)” 转到Account Settings > SSO 然后将信息粘贴到相应的字段中。完成后，请点击Save。
a. 如果您没有看到上述字段，则可能是因为 Branch 尚未完成开启您的帐户。请与您的客户经理联系。

通过身份提供者授予符合的用户访问 Branch 的权限。
a. 将来当您通过 IdP 将用户添加到 Branch 时，您还必须将他们添加到团队中以使用 Branch 操作后台 (Dashboard)中的相应 app。您可以在Account Settings > Team 页面上为您希望用户有权访问的每个 app 执行此操作。

❗️
Branch（但并非 IdP）的用户
如果用户在 Branch 的操作后台 (Dashboard)，但在您的 IdP 中没有获得访问权限，当启用 SSO 时用户将无法登录到 Branch 的 Dashboard。

SSO 现已启用，用户必须通过您的品牌子域登录。当您声明的电子邮件域上的用户尝试通过https://dashboard.branch.io登录，重置密码或以常规方式注册时，他们将被重新定向到您的品牌子域和您的 IdP 登录页面。