启用单点登录

概述

Branch 为操作后台 (Dashboard)提供了安全性声明标记语言(SAML)/单点登录(SSO)支持。这使您可以使用 identity provider(IdP)集中访问团队中的各种服务,并利用现有的目录系统和安全组。

先决条件

  1. Branch 操作后台 (Dashboard) 的单点登录是一项付费功能。
  2. Branch 可与 Okta 和 OneLogin 配合使用,并且与所有支持 SAML 的身份提供程序兼容。
    • For Okta, you may follow the dedicated guide here

设置 SSO

1. 联系 Branch

Branch 操作后台 (Dashboard)的SSO将对指定电子邮件域的访问限制到特定的操作后台 (Dashboard)子域。当您准备使用时请与您的客户经理联系,并请提供:

  1. 您和您的团队使用的电子邮件域 ,并且需要通过SSO登录。
  2. The Branch dashboard subdomain you would like your team to use to log in. For example, if you chose company, then your dashboard subdomain would be https://company.dashboard.branch.io
  3. The email addresses of any SSO admins that will be allowed to configure SAML for your team. These SSO admins will also be allowed to log in both via SSO and via regular dashboard login after SSO is enabled so that you have a fallback option to gain access to your account if the configuration goes wrong in some way. These users must also be admins in your Branch dashboard. Please verify that the requested SSO admin users are also present/added with an admin role in your Branch dashboard.

2. 将 Branch 添加为您的身份提供者

  1. 将 Branch 添加到您的 IdP - 添加以下 SAML 属性映射:

SAML 属性

应该映射到您的 IdP 的字段中

email

用户的电子邮件地址

firstName

用户的名字

lastName

用户的姓氏

以下是您的 IdP 要求您填写的一些初始信息:

IdP 字段

平台

Web

登入方式

SAML 2.0

应用名称

Branch

商标

在这里下载

ACS URL

https://<subdomain>.dashboard.branch.io/sso/callback

Entity ID or Audience URI

https://<subdomain>.dashboard.branch.io

SP metadata

🚧

SSO 名称 ID 格式

Branch 仅支持基本或未指定的 SSO 名称 ID格式。

一旦完成,您的 IdP 将为您提供需添加到操作后台 (Dashboard)上的信息用来启用 SSO。

3. 将您的 IdP 详细信息复制回 Branch

  1. 当您添加 Branch 时,您的 IdP 应为您提供Identity provider Entity IDIdentity provider SSO URLPublic x509 certificate 。从 “Branch 操作后台 (Dashboard)” 转到Account Settings > SSO 然后将信息粘贴到相应的字段中。完成后,请点击Save
    a. 如果您没有看到上述字段,则可能是因为 Branch 尚未完成开启您的帐户。请与您的客户经理联系。

4. 在 IdP 内将用户添加到 Branch

  1. 通过身份提供者授予符合的用户访问 Branch 的权限。
    a. 将来当您通过 IdP 将用户添加到 Branch 时,您还必须将他们添加到团队中以使用 Branch 操作后台 (Dashboard)中的相应 app。您可以在Account Settings > Team 页面上为您希望用户有权访问的每个 app 执行此操作。

❗️

Branch(但并非 IdP)的用户

如果用户在 Branch 的操作后台 (Dashboard),但在您的 IdP 中没有获得访问权限,当 启用 SSO 时用户将无法登录到 Branch 的 Dashboard。

5. 启用SSO

  1. 返回 Account Settings > SSO 页面并从 SAML/SSO 切换到 On 以继续启用SSO。
  2. 点击页底的 Save

SSO 现已启用,用户必须通过您的品牌子域登录。当您声明的电子邮件域上的用户尝试通过https://dashboard.branch.io登录,重置密码或以常规方式注册时,他们将被重新定向到您的品牌子域和您的 IdP 登录页面。

常问问题


这个页面对您有帮助吗?