单点登录-分贝通

概述

本文档详细介绍如何配置专属集成平台与分贝通系统之间的单点登录功能。通过此配置，企业用户可以使用统一的身份认证直接访问分贝通，无需重复登录，提升用户体验和工作效率。

分贝通是一款企业差旅管理平台，提供机票、酒店、火车票等商旅预订服务，以及企业差旅费用管理功能。通过单点登录集成，可实现企业身份系统与分贝通的无缝连接。

配置流程

创建分贝通应用

登录管理控制台

登录专属集成平台管理控制台

导航到应用市场

导航至"应用中心 → 应用管理 → 应用市场"

搜索并添加

在搜索框中输入"分贝通"，点击"添加"按钮，将该应用添加到应用列表中

基本信息配置

基本信息参数	说明
自定义应用名称	根据企业需求自定义应用名称
应用分类	选择合适的应用分类，也可以自定义新增分类
首页地址	个人Portal，访问应用的地址
Client ID	应用的唯一标识，系统自动生成，不可编辑
Client Secret	应用的密钥，系统自动生成，不可编辑，但可以点击"重置"按钮重新生成

注意：请记录Client ID和Client Secret信息，后续可能需要提供给分贝通方进行配置。

登录配置

登录配置参数	说明
本地登录方式	控制访问该应用的登录方式，包括"IAM用户名密码"、"短信验证码"、"邮箱验证码"等
企业认证登录	该登录方式根据"企业认证源"中的认证方式进行登录，勾选视为选中，应用将支持该登录方式
多因子认证	通过企业认证源或本地方式认证通过后，会触发短信或邮箱的二次验证，不勾选视为不开启
默认登录方式	选择系统默认使用的登录验证方式
访问地址	应用的登录地址，用作回调地址
应用程序ID	根据分贝通提供的信息填写，通常是分贝通分配给企业的唯一标识
应用密钥	分贝通提供的应用密钥，用于安全验证
SSO URL	分贝通的单点登录URL地址
JUMP URL	登录成功后跳转的分贝通页面地址
用户标识	用于识别用户身份的字段，通常为邮箱或员工编号
跳转页面	指定用户登录后显示的分贝通系统页面

重要提示：应用程序ID、应用密钥、SSO URL等信息需要从分贝通方获取，请与分贝通技术支持联系索取。

授权范围配置

选择授权方式

配置可访问此应用的用户范围。专属集成平台支持以下三种授权方式：

基于组织架构和用户授权：可选择特定的部门或用户进行授权

基于角色授权(RBAC)：通过静态标签(角色)进行授权

基于用户属性授权(ABAC)：通过动态标签(用户属性)进行授权

配置授权范围

选择适合贵企业的授权方式，并配置相应的授权范围

分贝通端配置

说明：此部分通常需要分贝通技术支持协助完成。以下仅提供一般性指导。

分贝通方面的配置通常包括：

在分贝通管理后台开启单点登录功能

配置专属集成平台提供的相关参数（如Client ID、回调地址等）

设置用户属性映射关系

进行安全配置和权限设置

测试验证

访问应用

从浏览器访问"登录配置"中设置的"访问地址"

完成认证

系统将引导您完成默认登录方式的身份验证

验证结果

验证成功后，应自动跳转至分贝通界面，无需再次输入账号密码

常见问题

Q：单点登录失败？

Q：登录后转向错误页面？

Q：用户信息不同步？

最佳实践

安全建议

定期更新Client Secret，提高系统安全性

考虑启用多因子认证，增强身份验证强度

严格控制授权范围，仅向需要使用分贝通的用户授予访问权限

定期审查访问日志，监控异常登录行为

用户管理建议

建立用户生命周期管理流程，确保员工离职时及时移除分贝通访问权限

实施基于角色的访问控制，根据用户职责分配不同级别的权限

考虑使用自动化工具同步用户数据，保持两个系统的用户信息一致

为用户提供清晰的使用指南，说明如何通过单点登录访问分贝通

性能优化建议

选择合适的身份验证方式，平衡安全性与用户体验

适当配置会话超时时间，避免频繁登录

监控单点登录流程的性能，识别并解决潜在瓶颈

与分贝通技术团队合作，优化端到端的登录流程

附录

术语解释

单点登录(SSO)：允许用户使用单一身份凭证访问多个应用的技术

身份提供者(IdP)：本场景中指专属集成平台，负责验证用户身份

服务提供者(SP)：本场景中指分贝通，接受IdP的身份验证结果

用户标识：用于在不同系统间映射用户身份的唯一属性，如邮箱或员工编号

概述#

配置流程#

创建分贝通应用#

基本信息配置#

登录配置#

授权范围配置#

分贝通端配置#

测试验证#

常见问题#

最佳实践#

安全建议#

用户管理建议#

性能优化建议#

附录#

术语解释#

概述