持续时间:00:04:20 (hh:mm:ss)
可用时,可以使用此视频播放器上的 Settings 或 CC 图标选择关闭的字幕(字幕)语言设置。
---------------------------------------------------------------------------------------------------------------------
单点登录 (SSO) 通过无密码身份验证简化了对 Dell Premier 的访问。通过单点登录登录后,客户(用户)无需再次登录即可使用其他戴尔应用程序。
启用 SSO 后,所有用户都将选择“
Premier Sign In”或通过
www.dell.com/account 访问 Dell Premier 登录页面
站点管理员(站点管理员)可以从“帐户”选项卡设置单点登录。如果您的组织没有站点管理员,请联系您的销售代表
。
- 登录Premier,然后单击 Account (帐户)。
- 在 概览 页面上,找到单点登录小组件,然后单击 管理单点登录 。(如果您的页面上没有,请联系您的客户团队,以便为您的帐户设置 SSO)
有两种方法可以将用户迁移到单点登录。
- 让您的整个组织加入(推荐)
现有用户将保留其当前的访问组和用户角色分配。在以下步骤中,将要求站点管理员指定其组织内所有其他员工的访问组和用户角色。启用单点登录后,整个组织将可通过单点登录访问 Premier。
- 载入现有 Premier 用户
现有用户将保留其当前的访问组和用户角色分配。站点管理员或销售代表可以手动添加新用户并将其分配给访问组和用户角色。新用户将通过单点登录即时访问 Premier。
访问组和用户角色决定了每个用户可以查看和执行的操作。如果您对
访问组和用户角色有疑问,请联系您的销售代表。
规则(可选)可以按位置、部门或雇佣类型(全职、兼职、合同等)进一步定义员工访问权限。要创建规则,请为每个报销申请名称添加报销申请值。有关
报销申请详细信息 ,请联系您的 IT 管理员。详细了解如何在 Premier
中设置可选规则。
站点管理员设置访问权限后,Premier 将发送用户访问权限的电子邮件摘要。可以随时更改单点登录设置。
单击
Manage SSO Connection 以打开 Premier 的单点登录设置门户。您还可以邀请信息技术 (IT) 管理员完成单点登录设置。
要邀请您的 IT 管理员:
- 单击 Manage Administrator
- 输入 IT 管理员的组织电子邮件地址。
- 单击 Invite 以邀请 IT 管理员访问身份门户。
要验证您组织的电子邮件域,IT 管理员将单击 Manage Domain 。
了解域管理
- 单击 Register IdP (identity portal)
- 在 选择域选项卡中,按如下所示填写字段
SSO 配置名称:输入单点登录配置的名称
选择域:选择与身份提供程序关联的域
- 单击下一步
在 选择协议 选项卡中,按如下所示填写字段:
选择并配置外部身份提供程序:
SAML 2.0 默认处于选中状态。请参阅下面的 SAML 步骤。您还可以使用 Open ID Connect (OIDC) 配置 SSO。有关 OIDC 设置说明,请参阅下面的 OIDC 步骤。
- 复制所有服务提供商元数据值并将其粘贴到身份提供商的相应字段中。
- 选中此复选框以确认服务提供商元数据已配置并上传到身份提供商。
- 通过以下三种方式之一导入身份提供程序元数据:
- 上传身份提供程序 XML 文件。
- 输入保存联合元数据的 XML 文件的 SAML 端点 URL。
- 如果您没有身份提供程序元数据文件,请手动输入值。
- 单击下一步
对于 OIDC,有两种方法可以启用配置:众所周知的端点或手动输入值
- 选择“完好的端点”或手动输入值
- 输入众所周知的端点或根据选择手动输入值
- 单击下一步
如果您在 Select Protocol 中选择了 SAML,
- 在 Register IdP 选项卡中,前三个部分(基本 SAML 信息、端点和证书)会自动填充 步骤 5 中共享的元数据文件中的信息。 如果数据未自动填充,请手动输入信息。
- 单击 “声明”。声明允许特定员工(用户)访问您的 Premier 页面。
在 “必需报销申请 ”部分,从下拉列表中选择相应的 URL。
在 “可选报销申请 ”部分,从下拉列表中选择适用的选项。可以添加多个 可选报销申请 。有三种类型的可选声明:
- 的成员标识来自特定组的用户。“成员”仅列出在 添加用户组 选项卡中添加的组。要将组添加到列表,请转至 添加用户组 选项卡。在 添加 Active Directory 用户组(可选)字段中,添加组。
- 国家/地区代码从特定位置标识用户。
- 员工类型按雇佣类型(全职、兼职等)标识用户。
单击 Register (注册)
- 单击 下一步。
如果您在 Select Protocol 中选择了 OIDC,则在 Register IdP 选项卡中,Issuer 和 Redirect URL 以及 Endpoint 选项卡中的所有其他字段将自动填充。
在
基本信息中:
- 输入您将在身份提供商上找到的客户端 ID。
- 输入客户端密码,您将在身份提供商上找到该密码。
- 复制重定向 URL 并与应用程序一起配置
提醒:对颁发者所做的更改将更新端点中的重定向 URL
,端点将从已知端点自动填充或手动输入的范围值
,某些预定义的范围将根据已知端点或手动输入的端点自动填充。
- 输入或选择 UUID 报销申请
- 单击 Register (注册)
对于 Add User Group ,请参阅上面的步骤 5。
在激活身份提供程序之前,请测试连接和端到端单点登录。
测试身份提供程序连接
- 单击 测试 IdP 连接 。戴尔将在浏览器窗口中打开单点登录会话。
- 使用您的组织凭据登录。
- 查看页面上显示的测试结果。
- 如果测试成功,请单击单点登录页面上的 测试连接 选项卡。邀请用户测试单点登录。
- 如果测试失败,请检查身份提供程序设置。如有疑问,请联系戴尔身份团队。
邀请用户测试单点登录
- 单击 启用测试 SSO 。为身份提供程序生成唯一的电子邮件地址。
- 与受信任用户共享唯一的电子邮件地址。
- 与受信任用户共享应用程序 URL。
3.1 — 对于服务提供商启动的单点登录,用户必须从 Dell.com 访问其应用程序才能完成测试。
3.2- 对于身份提供商启动的单点登录,请与受信任用户共享身份提供程序的 URL 进行身份验证。用户将使用表中的中继 url 重定向到应用程序。
- 测试成功后,单击 激活 。
- 如果在未禁用测试的情况下激活身份提供程序,则测试将自动禁用。
- 单击 激活 后,身份提供程序处于活动状态。
- 单击 Skip Activation 后,身份提供程序将挂起激活。单击 Edit IdP 以完成激活。
- 设置 SSO 后,可以自动禁用双因素身份验证 (2FA)。您可以通过单击“Turn off 2FA”按钮从 MyAccount 禁用 2FA,该按钮将显示为 SSO 设置过程中的额外步骤。
单点登录
设置单点登录
身份提供程序 (IdP) 技术设置
SSO 域和声明
Premier 登录
的好处
单点登录什么是单点登录
,有哪些优势?
单点登录 (SSO) 是一项身份验证服务,允许员工使用一组凭据访问许多应用程序。单点登录通过集中控制来增强安全性,并通过消除许多密码来提高工作效率。
拥有单点登录的员工将如何为我的组织购买?
通过单点登录,员工无需创建帐户即可访问 Premier。使用组织的电子邮件地址登录后,员工可以根据其访问组和用户角色进行浏览和购买。Premier 站点管理员分配每个员工
的访问组和用户角色(他们可以看到和执行的操作)。
在设置单点登录时,我应该联系谁寻求帮助?
您的销售代表可以帮助您设置单点登录。
设置单点
登录
单点登录设置需要多长时间,由谁负责?
Premier 站点管理员在其 Premier 帐户中启动单点登录设置。组织中的身份或 IT 管理员注册并配置身份提供商 (IdP)。此过程可能需要 30 到 45 分钟。
所有员工是否都必须对所有戴尔应用程序使用单点登录?
是的,所有员工在启用后都必须使用单点登录。这是建议的。单点登录通过集中式身份管理提高安全性并提高工作效率。
什么是戴尔身份门户?
戴尔身份门户允许站点管理员自行配置与戴尔的单点登录。戴尔身份门户指导身份管理员(身份管理员)向戴尔配置其身份门户 (IdP)。IdP 和 Dell 连接后,身份管理员可以测试配置。
身份管理员如何处理身份提供程序 (IdP)?
要开启单点登录,请邀请身份管理员到戴尔进行设置。身份管理员可以在 Dell 身份门户中设置和管理身份提供程序 (IdP)。身份管理员使用 Dell 身份门户验证域、启动 IdP 配置并维护服务。
我是否可以邀请多个身份管理员访问身份门户?
是的,您可以邀请来自单个组织中的多个身份管理员。第一个声称域为主身份管理员。主身份管理员可以接受或拒绝对更多身份管理员的访问。身份管理员邀请将在 30 天后过期。
如何检查身份管理员邀请的状态?是否有 API?
您可以在戴尔身份门户中查看邀请状态。没有 API 来检查邀请是待处理还是已接受。
单点登录是否还会为应用程序启用多因素身份验证?
是的,单点登录使用客户的身份提供程序 (IdP) 来支持此功能。大多数 IDP 支持多因素身份验证。
当站点管理员关闭单点登录时,是否为所有用户关闭服务?
是的。当单点登录关闭时,用户无法登录 Premier。
设置 SSO 后,我是否可以通过 SSO 登录我的 TechDirect 门户?
SSO 与 TechDirect 的集成目前不可用。请继续使用您的用户名和密码登录您的 TechDirect 门户
。
身份提供程序 (IdP) 技术设置
IdP 启动的单点登录和 SP 启动的单点登录是什么?
这两个启动是指用户登录到组织应用程序的位置。单点登录可以从身份提供程序 (IdP) 或服务提供商 (SP) 开始。
IdP 启动的单点登录是在身份提供程序中启动身份验证时。经过身份验证后,用户无需再次登录即可使用任何链接的服务提供商(应用程序)。
SP 启动的单点登录是在用户从服务提供商(应用程序)启动时。服务提供商将用户重定向到身份提供程序进行身份验证。经过身份验证后,用户可以访问服务提供商服务。
什么是身份提供程序组?如何管理我的身份提供程序组?
身份提供程序 (IdP) 组可组织和管理用户对应用程序的访问。邀请 IdP 管理员时,IdP 组名称可见。IdP 管理员通过身份提供程序对组进行更改。
戴尔支持哪些身份提供商?
任何支持 SAML 2.0 的身份提供商 (IdP) 都可以与戴尔集成。
外部托管服务提供商是否可以配置我的身份提供程序?
是的,外部托管服务提供商可以在戴尔身份门户上设置您的身份提供商。外部托管服务必须具有与身份提供程序相同的电子邮件域,才能启用单点登录。
在生产之前,客户应如何在身份提供商暂存环境中设置单点登录?
在生产环境中创建身份提供程序。要测试单点登录,请在生产环境中使用测试功能。这不会影响活动用户,并且仅对预定义的电子邮件地址启用单点登录。如果测试成功,请为所有用户开启单点登录。
身份提供程序组是否可以有许多身份提供程序?
是的,身份提供程序组可以有许多身份提供程序。
当另一个具有相同实体 ID 的身份提供程序开启时,如何关闭身份提供程序?
每个身份提供程序必须具有唯一的实体 ID。按照步骤打开非活动身份提供程序。
- 编辑名为 IdP1 的活动身份提供程序。
- 更改实体 ID 并将 _042523添加到末尾。
- 保存 IdP1。
- 打开非活动身份提供程序(称为 IdP2)。
- 单击 编辑 IdP 并将_042523_Test添加到实体 ID 的末尾。
- 保存 IdP2。
- 编辑 IdP1 以从实体 ID 末尾删除 _042523。
- 保存 IdP1。
IdP1 和 IdP2 都将处于活动状态。
多个身份提供程序是否可以使用同一域?
否,身份提供程序只能使用一个域。
身份提供程序组是否可以支持多个域?
是的,身份提供程序组可以使用多个域。
如何为 Azure 设置 IdP 启动的单点登录?
在身份提供程序中,转至 协议 选项卡。查找要使用 IdP 启动的单点登录设置的应用程序。在 IdP 启动的 SSO 部分中,单击 支持的应用程序 。
复制应用程序的中继 URL/目标 URL。在 Azure 的身份提供程序中,将 URL 粘贴到“中继状态(可选)”字段中。
SSO 域和声明
域注册的工作原理是什么?具有此电子邮件域的所有用户是否可以使用单点登录?
单点登录设置在域级别。您可以允许某些用户或现有 Premier 用户访问。我们建议您的站点管理员加入整个组织。
如果我的组织有许多域,我是否应该注册每个域?
您可以将一个身份提供程序用于多个域。
在单点登录设置过程中定义了哪些声明?
所需的报销申请
- 名字
- 姓氏
- 电子邮件地址
- UUID(通用唯一标识符,默认为电子邮件地址)
可选报销申请
Premier 登录
如果在 MyAccount 和 Premier 之间切换时发现错误,请选择“注销”并通过 www.dell.com/account 使用 SSO 登录。