通过飞书进行 SAML SSO 登录

通过单点登录功能（即 Single Sign On，SSO）可实现飞书和扣子编程之间登录身份互通互认。企业用户只需登录飞书，就可以直接访问扣子编程中的企业工作空间，免去每次访问都需要输入扣子账号和密码的步骤。本文档以飞书为例，演示飞书作为 IdP 时，企业管理员开启 SSO 登录的详细操作步骤，帮助你理解企业 IdP 与扣子编程进行 SSO 的端到端配置流程。

场景说明

某企业使用飞书作为移动办公平台，在飞书中维护自己的员工身份信息。企业使用员工邮箱前缀作为员工的唯一标识，例如用户 Alice 的员工邮箱为 Alice_123@enterprise.com，该员工在扣子编程中作为企业成员的用户名为 Alice_123。
企业管理员购买了扣子企业旗舰版之后可以开启 SSO 登录，能够让 Alice 通过链接基于飞书已经登陆的身份直接跳转扣子编程，以企业成员的身份访问扣子企业旗舰版工作空间。

准备工作

• 已在扣子编程中创建企业组织、创建企业成员 Alice_123，并将其加入企业。
• 已获取飞书集成平台管理员权限、扣子编程企业超级管理员权限。

步骤一：在扣子编程中获取配置信息

在扣子编程中获取以下配置信息：

步骤二：在飞书集成平台创建并配置应用

作为身份提供商（IdP），飞书集成平台需要以应用的形式感知服务提供商扣子编程，实现单点登录。因此，企业管理员需要飞书集成平台创建对应扣子编程的应用，应用类型为自建应用。

1. 使用飞书租户的管理员用户或具有同等权限的飞书用户登录飞书集成平台。
2. 在身份集成 > 应用单点登录 > 应用管理页面中，单击新建应用，创建一个新的自建应用。
   
3. 在新建应用页面，选择应用类型为自建应用。
   
4. 在基本配置页面，配置应用程序的名称等基本信息，然后单击下一步。
   此示例中可以填写应用名称为扣子编程，该名称仅用作在 IdP 处展示。
   
5. 在应用配置页面填写 SAML 配置。

   1. 在更多配置区域，展开配置，启用 SAML 2.0 协议。
      

   2. 填写以下设置，并单击保存并启用。

      配置	说明	示例
      授权配置	在快捷导入 SAML 元数据区域，单击上传文件，上传步骤一中下载的 SP 元数据文件。 上传文件后，系统会默认填写登录回调地址。
      支持 IdP 侧发起登录	可选。配置 IdP 登录后，企业用户 Alice 可从飞书提供的登录地址访问扣子编程。 开启支持 IdP 侧发起登录，并手动填写以下配置： ACS URL、Destination 和 Destination：设置为步骤一中获取的 ACS URL。 Audience：设置为步骤一中获取的 Entity ID。 配置成功后，页面右侧展示的认证请求端点则是从 IdP 侧（也就是飞书侧）访问扣子编程的 URL。	IdP 登录： 认证请求端点：
      Name ID 配置	选择进行 SSO 身份映射时使用的飞书用户字段。建议此处选择在飞书侧维护的全局唯一的、仅包含英文字母的字段。 本示例选择邮箱名（不含"@"及后缀），表示通过飞书用户的邮箱前缀去匹配扣子编程中的企业成员用户名。
      SAML 2.0 协议端点	在页面右侧 SAML 2.0 协议端点区域中，单击下载元数据文档，下载身份提供商（IdP）元数据文件，并将其保存在本地目录。

      完整配置示例如下：
      

6. 配置完成后，点击保存并启用。
7. 确认可访问范围。
   在刚创建的应用中的访问授权页面配置可以进行单点登录的飞书用户范围。默认全部成员均可通过飞书用户身份以 SSO 方式登录扣子编程，访问企业工作空间。
   

步骤三：在扣子编程中上传 IdP SAML 配置

在扣子编程中上传企业身份管理系统（IdP）的元数据信息，建立扣子编程对 IdP 的信任，并开启 SSO 登录，实现企业 IdP 通过用户 SSO 登录扣子编程。

1. 企业超级管理员登录扣子编程。在左下角单击个人头像，选择账号 > 企业管理。
   你也可以直接访问扣子编程企业管理页面。
   
2. 在左侧导航栏选择 SSO 设置，单击去配置。
3. 在弹出页面中 SSO 登录 > 身份提供商信息一栏，上传步骤二中下载的 IdP 元数据文档。
4. 在 SSO 登录区域，开启 SSO 登录。

结果验证

完成 SSO 登录配置后，企业用户 Alice 可以从扣子编程或者飞书侧发起单点登录。