Quire 單一登入(SSO) Permalink

AI 翻譯
· 查看英文版

單一登入(SSO)僅在 Enterprise 方案中提供。更多資訊請參考我們的價格頁面

Quire 的單一登入(SSO)讓成員可以透過集中式的身分識別提供者(IdP),使用 SAML 2.0 進行認證。支援的提供者包含 Okta、OneLogin、Azure AD B2C,以及任何其他符合 SAML 2.0 的 IdP。

SSO 概覽

SSO 讓使用者透過身分識別提供者,以一組憑證登入 Quire,免去管理另一組 Quire 密碼的麻煩。

當您的 Quire 組織啟用 SSO 後:

  • 成員可使用公司的身分識別提供者登入
  • 不需要另外的 Quire 密碼
  • 認證集中管理,更加安全
  • IT 管理員的登入管理更為簡化


Quire 支援 SAML 2.0 認證,並可與以下服務搭配使用:

  • Okta
  • OneLogin
  • Azure AD B2C
  • 任何支援 SAML 2.0 的 IdP


一旦啟用 SSO 後,組織成員將透過 IdP 登入,無需使用 Quire 密碼。

設定身分識別提供者(IdP)

在 Quire 中啟用 SSO 之前,您必須先設定您的身分識別提供者。

步驟 1:建立 SAML 2.0 應用程式

  1. 登入您的身分識別提供者管理員主控台。
  2. 建立一個新的 SAML 2.0 應用程式。
  3. 輸入下列 SAML 設定資訊:
SAML 屬性 對應至您的身分識別提供者
https://quire.io/sso/login 應用程式的 SAML Assertion Consumer Service(ACS)網址
https://quire.io/sso/metadata 應用程式的 SP 實體ID
成員的電子郵件 Name ID 格式

步驟 2:取得必要的 SAML 資訊

建立應用程式後,請複製以下資訊:

  • 身分識別提供者網址
  • 實體ID
  • Base64 X.509 憑證

步驟 3:在身分識別提供者中指派使用者

  1. 將使用者或群組新增至新建立的 Quire SAML 應用程式中。
  2. 確保已指派適當的存取授權。


使用者必須先在 IdP 中被指派,才能透過 SSO 進行認證。

在 Quire 中設定 SSO

步驟 1:開啟組織設定

  1. 點擊組織名稱旁的下拉選單圖示
  2. 選擇選項

組織設定

步驟 2:啟用SAML認證

  1. 前往安全性分頁
  2. 開啟 SAML認證

在 Quire 組織安全性設定中啟用SAML認證

步驟 3:輸入 SAML 設定資訊

  1. 貼上身分識別提供者網址
  2. 輸入實體ID
  3. 貼上 Base64 X.509 憑證
  4. 點擊測試單一登入以驗證設定。
  5. 若驗證成功,點擊儲存

SAML 設定

必要 SSO 與選擇性 SSO

您可將 SSO 設為:

  • 必要 – 所有成員都必須透過 SSO 登入。
  • 選擇性 – 成員可使用密碼或 SSO 登入。

備註: 組織管理員必須始終使用 Quire 密碼登入。

設定成功後,成員將不再需要另一組 Quire 密碼。

Azure AD B2C 整合

步驟 1:設定 Azure AD B2C

  1. 登入 Azure Portal
  2. 建立自訂原則
  3. 註冊一個 SAML 應用程式
  4. 設定使用者流程以進行認證。


請參考 Microsoft 官方文件取得詳細的設定說明。

步驟 2:設定 NameID 格式

Quire 要求 NameID 格式必須為:

  • userPrincipalName
  • email


請勿使用 objectId

若使用 userPrincipalName,請修改:

  • TrustFrameworkBase.xml
  • SignUpOrSigninSAML.xml


TrustFrameworkBase.xml 範例:

<!-- The following technical profile is used to read data after user authenticates. -->
<TechnicalProfile Id="AAD-UserReadUsingObjectId">
  <Metadata>
    <Item Key="Operation">Read</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
  </Metadata>
  <IncludeInSso>false</IncludeInSso>
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" Required="true" />
  </InputClaims>
  <OutputClaims>

    <!-- Optional claims -->
    <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="givenName" />
    <OutputClaim ClaimTypeReferenceId="surname" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" /> <!-- add -->
  </OutputClaims>
  <IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>


SignUpOrSigninSAML.xml 範例:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="SAML2"/>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="objectId"/>
      <OutputClaim ClaimTypeReferenceId="userPrincipalName" PartnerClaimType="userPrincipalName"/> <!-- add -->
    </OutputClaims>
    <SubjectNamingInfo ClaimType="userPrincipalName" ExcludeAsClaim="true"/> <!-- modify -->
  </TechnicalProfile>
</RelyingParty>


若您打算將格式改為 email,可參考此資源取得更多指引。

步驟 3:從 Azure 取得必要資訊

設定完成後,請取得:

  • Metadata 網址
  • 身分識別提供者網址
  • 實體ID
  • Base64 X.509 憑證


以下是這些資訊可能的範例:

  • Metadatahttps://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/metadata
  • 身分識別提供者網址https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/login
  • 實體ID:您在 TrustFrameworkExtensions.xml<Item Key="IssuerUri">)中定義的內容。例如:https://your-tenant.onmicrosoft.com/quire
  • Base64 X.509 憑證:從 metadata 的 <X509Certificate> 中擷取 MIIDizCCAnOgAwIBAgIUU9ndt…


接著請依照 在 Quire 中設定 SSO 的步驟進行。

SSO 疑難排解

若成員在 Quire 中變更了電子郵件,將無法透過 SSO 登入,直到新的電子郵件在身分識別提供者中也一併更新為止。

修正方式:

  1. 在身分識別提供者中更新該成員的電子郵件。
  2. 確保 NameID 與更新後的電子郵件相符。
  3. 請該成員再次嘗試登入。

歡迎到我們的部落格閱讀更多關於Quire 的單一登入

常見問題

Quire SSO 支援哪些身分識別提供者?

任何符合 SAML 2.0 的 IdP,包含 Okta、OneLogin 與 Azure AD B2C。SSO 僅在 Enterprise 方案中提供。

如何在 Quire 中啟用 SSO?

在您的 IdP 中設定 SAML 2.0 應用程式,使用 Quire 的 ACS 網址(https://quire.io/sso/login)與實體ID(https://quire.io/sso/metadata),取得 IdP 網址、實體ID 與憑證,接著前往「組織選項 > 安全性」分頁,啟用SAML認證,貼上這些資訊,點擊測試單一登入,然後儲存。

我可以為 Quire 組織將 SSO 設為必要或選擇性嗎?

可以。必要會強制所有成員透過 IdP 登入;選擇性則讓成員自行選擇使用 Quire 密碼或 SSO。

組織管理員在 Quire 中也必須使用 SSO 嗎?

不需要。即使對其他成員將 SSO 設為必要,管理員仍始終使用 Quire 密碼登入。

若成員變更電子郵件後無法透過 SSO 登入,該怎麼辦?

請在身分識別提供者中更新該成員的電子郵件,使 NameID 與新地址相符。之後該成員即可再次透過 SSO 登入。

Quire 在 Azure AD B2C SSO 中要求哪一種 NameID 格式?

請使用 userPrincipalNameemail。請勿使用 objectId — 這會導致認證失敗。

客戶可以使用 Facebook 或 LinkedIn 等社群媒體帳號登入 Quire 嗎?

可以,透過 Azure AD B2C 整合即可。支援的提供者包含 Facebook、X(前身為 Twitter)、LinkedIn、Microsoft 帳號,以及本機身分識別帳號。

最後更新時間:

如需更多協助,請聯繫我們