Skip to content
简体中文

SSO 单点登录

一、什么是 Single Sign-on

单点登录(Single Sign-On,SSO)是一种企业级身份认证机制,用户只需通过公司统一的身份认证系统登录一次,即可访问多个已建立信任关系的业务系统和应用,无需在每个系统中重复输入用户名和密码。

在Nota Sign中启用SSO后,员工可直接使用企业账号登录,无需单独创建或记忆新的平台账号。当用户已登录企业内部系统(如邮箱、门户或人事系统)时,可无缝跳转并访问Nota Sign SaaS平台,提升使用体验,同时确保身份验证符合企业安全要求。

1. 典型应用场景

企业通常在以下场景中使用SSO:

  • 集中式身份管理:企业可通过主流身份提供商(IdP),如Microsoft Entra ID、Okta、Authing、阿里云 IDaaS等,基于SAML 2.0协议,将Nota Sign接入现有认证体系,实现统一的身份认证与集中化管理。

  • 提升安全性:减少账号和密码的重复使用,结合多因素认证等安全策略,降低风险。

  • 提升用户体验:员工可使用企业统一账号直接访问Nota Sign,无需在不同系统间反复输入凭据。

  • 人员变动管理:当员工离职时,企业只需在身份提供商中移除账号,即可自动收回其对Nota Sign的访问权限,减少额外的运维工作。

二、Nota Sign的SSO功能支持

  • 多身份提供商支持:基于SAML 2.0标准协议,可与主流IdP集成(如Microsoft Entra ID、Okta、Authing、阿里云IDaaS)。

  • 企业域名配置:支持绑定企业域名,实现基于域名的身份认证。

  • SSO映射(Mapping):管理员发送工作空间邀请后,受邀的域用户成员可通过SSO登录该工作空间;未被邀请的域用户无法直接访问。

  • 灵活的登录方式:用户可根据管理员设置,选择通过SSO登录,或继续使用Nota Sign原有账号登录。

  • 审计与合规:所有SSO登录事件均可追溯,满足企业安全与合规性要求。


三、配置 Nota Sign 的 SSO

要在企业中启用 Nota Sign 的单点登录(SSO),请按照以下步骤进行:

1. 注册账号

访问Nota Sign注册页面,注册企业管理员账号。

image-log_in

2. 开通订阅

根据企业需求,联系销售开通SSO功能订阅套餐。订阅开通后,管理员将获得SSO配置权限。

3. 在身份提供商(IdP)侧配置SSO(以Microsoft为例)

说明:

  • Nota Sign支持基于SAML2.0的模式集成;

  • 登录账号目前无法实现IdP与SP的自动同步,需在法大大SaaS后台手动添加;

  • 您需要拥有:内部的统一帐号登录系统(IdP)管理权限。

以Microsoft Azure为例,为您演示如何配置SSO:

1)创建SAML应用

1.在IdP中登录;

2.选择【企业应用程序】点击【新建应用程序】;

image01

3.点击【创建你自己的应用程序】;

4.输入应用名称,建议名称与需要登录的企业名称一致方便识;

5.勾选【集成未在库中找到的任何其他应用程序(非库)】.

image02

2)获取SAML应用配置

  1. 打开创建的应用程序界面,点击左侧菜单栏【单一登录】;

  2. 选择【SAML】登录;

image03-99ac6a

3.将SP Entity ID、SP回调地址(回复 URL / ACS URL)和单点登录地址(登录 URL)分别复制回SAML应用配置中。

image04-624848

3)下载元数据文件

下载SAML应用的联合元数据文件。

image06-3ef697

4. 在Nota Sign配置IdP

您需要拥有:Nota Sign(SP)管理权限。

1)如何配置IdP

  1. 打开Nota Sign工作台,点击【全局设置】;

image11

  1. 点击【身份提供商】,选择【添加身份提供商】;

image12

  1. 填写IdP名称和协议类型(目前仅提供SAML2.0),点击【确定】;

image13

  1. 上传下载的元数据文件,或手动配置填写IdP信息,点击【确定】完成绑定。

image14

2)如何停用IdP

  1. 打开Nota Sign工作台,点击【全局设置】;

image11

  1. 点击【身份提供商】,选择要停用的IdP,点击其对应【管理设置】;

image07-e978fb

  1. 关闭【已启用】按钮。

iamge08

  1. 停用IdP后可在【身份供应商】界面删除该IdP。

image09-96ad46

5. 配置企业域名

1)添加域名

  1. 登录Nota Sign工作台,点击【全局设置】;

image01

  1. 点击【域名】,选择【添加域名】;

image02

  1. 填写域名地址,点击【认领】;

image03-53f6cb

2)验证域名

  1. 在域名服务商的DNS配置中添加任一项系统提供的验证值,以完成域名所有权验证;

  2. 点击【立即验证】,完成域名验证。

image04-27fae5

6. 配置SSO映射

配置SSO映射后,邀请域用户能够通过SSO登录地址,访问工作空间;

1)自动映射配置:

  1. 登录Nota Sign工作台,点击【全局设置】;

image01

  1. 在【域名】页面中点击【管理设置】;

image02

  1. 在【设置】页面中选择【添加SSO】映射,定义不同IdP域名下成员登录时的工作空间;

image08

  1. 根据需求勾选是否【只允许访问SSO映射空间】以及是否【只允许SSO登录】;

  2. 点击【添加白名单用户】,设置个别用户登录权限;

  3. 点击【保存】完成设置。

image09-6dd8e1

管理员在对应空间对域用户发起邀请,未被邀请的域用户无权限进入该工作空间;系统将在用户通过SSO登录时,自动为其创建Nota Sign账号。

添加SSO映射即表示除白名单用户外,对应域名下的其他所有用户通过此IdP登录默认工作空间。

勾选【只允许访问SSO映射空间】后,成员无法访问个人空间。

勾选【只允许SSO登录】后,成员无法通过账号密码登录Nota Sign。

7. SSO用户登录与签署

1)SSO用户登录Nota Sign平台

本场景适用于SSO用户登录Nota Sign平台。管理员发送邀请加入工作空间邀请后,成员通过邮箱查看系统发送邮件,点击【立即加入】;

打开SSO登陆页面,选择登陆方式。

IMAGE11

方式一:通过Nota Sign账号登录

进入Nota Sign登录平台,通过邮箱密码直接登录;

image05-2695dc

方式二:通过SSO登录

通过第三方登录地址(以Microsoft为例),输入账号密码, 点击登录,进入工作台。

image03-b18815

当用户已建立SSO映射,且管理员未勾选【只允许SSO登录】,成员可通过SSO登录或选择Nota Sign账号密码登录;当管理员已设置只允许SSO登录时,用户仅允许通过SSO登录。

2)收件人通过SSO登录签署

收件人点击邮箱签署链接,根据以下不同场景操作:

发送方与收件人属于不同域名
  1. 收件人选择通过SSO登录或通过Nota Sign账号密码登录;

image04-2cac2d

  1. 若选择【通过SSO登录】,且收件人被允许登录多个工作空间,则需选择进入的工作空间,点击【登录】;

image05-8866d3

image06-5cc64b

  1. 跳转至第三方登录,(以Microsoft为例),输入账号密码, 点击登录,进入签署页面。

image03-b18815

发件方与收件人属于同一域名
  1. 收件人选择通过SSO登录或通过Nota Sign账号密码登录;

image04-2cac2d

  1. 若选择【通过SSO登录】,则直接进入与发件人同一域名的对应工作空间;

  2. 跳转至第三方登录,(以Microsoft为例),输入账号密码, 点击登录,进入签署页面。

image03-b18815

注意:若收件人所属工作空间管理员已勾选【仅允许SSO登录】,则收件人无法通过Nota Sign账号密码登录。

image07-e3504f

8. 验证配置

  1. 使用企业域名账号在IdP登录;

  2. 成功验证后,受邀请成员可自动跳转并登录到Nota Sign,无需再次输入密码;

  3. 建议管理员先用测试账号验证配置正确,再逐步向全体用户开放。

完成以上步骤后,企业用户即可通过企业IdP的SSO机制安全访问Nota Sign,统一管理账号与权限。