SSO 单点登录
一、什么是 Single Sign-on
单点登录(Single Sign-On,SSO)是一种企业级身份认证机制,用户只需通过公司统一的身份认证系统登录一次,即可访问多个已建立信任关系的业务系统和应用,无需在每个系统中重复输入用户名和密码。
在Nota Sign中启用SSO后,员工可直接使用企业账号登录,无需单独创建或记忆新的平台账号。当用户已登录企业内部系统(如邮箱、门户或人事系统)时,可无缝跳转并访问Nota Sign SaaS平台,提升使用体验,同时确保身份验证符合企业安全要求。
1. 典型应用场景
企业通常在以下场景中使用SSO:
集中式身份管理:企业可通过主流身份提供商(IdP),如Microsoft Entra ID、Okta、Authing、阿里云 IDaaS等,基于SAML 2.0协议,将Nota Sign接入现有认证体系,实现统一的身份认证与集中化管理。
提升安全性:减少账号和密码的重复使用,结合多因素认证等安全策略,降低风险。
提升用户体验:员工可使用企业统一账号直接访问Nota Sign,无需在不同系统间反复输入凭据。
人员变动管理:当员工离职时,企业只需在身份提供商中移除账号,即可自动收回其对Nota Sign的访问权限,减少额外的运维工作。
二、Nota Sign的SSO功能支持
多身份提供商支持:基于SAML 2.0标准协议,可与主流IdP集成(如Microsoft Entra ID、Okta、Authing、阿里云IDaaS)。
企业域名配置:支持绑定企业域名,实现基于域名的身份认证。
SSO映射(Mapping):管理员发送工作空间邀请后,受邀的域用户成员可通过SSO登录该工作空间;未被邀请的域用户无法直接访问。
灵活的登录方式:用户可根据管理员设置,选择通过SSO登录,或继续使用Nota Sign原有账号登录。
审计与合规:所有SSO登录事件均可追溯,满足企业安全与合规性要求。
三、配置 Nota Sign 的 SSO
要在企业中启用 Nota Sign 的单点登录(SSO),请按照以下步骤进行:
1. 注册账号
访问Nota Sign注册页面,注册企业管理员账号。

2. 开通订阅
根据企业需求,联系销售开通SSO功能订阅套餐。订阅开通后,管理员将获得SSO配置权限。
3. 在身份提供商(IdP)侧配置SSO(以Microsoft为例)
说明:
Nota Sign支持基于SAML2.0的模式集成;
登录账号目前无法实现IdP与SP的自动同步,需在法大大SaaS后台手动添加;
您需要拥有:内部的统一帐号登录系统(IdP)管理权限。
以Microsoft Azure为例,为您演示如何配置SSO:
1)创建SAML应用
1.在IdP中登录;
2.选择【企业应用程序】点击【新建应用程序】;

3.点击【创建你自己的应用程序】;
4.输入应用名称,建议名称与需要登录的企业名称一致方便识;
5.勾选【集成未在库中找到的任何其他应用程序(非库)】.

2)获取SAML应用配置
打开创建的应用程序界面,点击左侧菜单栏【单一登录】;
选择【SAML】登录;

3.将SP Entity ID、SP回调地址(回复 URL / ACS URL)和单点登录地址(登录 URL)分别复制回SAML应用配置中。

3)下载元数据文件
下载SAML应用的联合元数据文件。

4. 在Nota Sign配置IdP
您需要拥有:Nota Sign(SP)管理权限。
1)如何配置IdP
- 打开Nota Sign工作台,点击【全局设置】;

- 点击【身份提供商】,选择【添加身份提供商】;

- 填写IdP名称和协议类型(目前仅提供SAML2.0),点击【确定】;

- 上传下载的元数据文件,或手动配置填写IdP信息,点击【确定】完成绑定。

2)如何停用IdP
- 打开Nota Sign工作台,点击【全局设置】;

- 点击【身份提供商】,选择要停用的IdP,点击其对应【管理设置】;

- 关闭【已启用】按钮。

- 停用IdP后可在【身份供应商】界面删除该IdP。

5. 配置企业域名
1)添加域名
- 登录Nota Sign工作台,点击【全局设置】;

- 点击【域名】,选择【添加域名】;

- 填写域名地址,点击【认领】;

2)验证域名
在域名服务商的DNS配置中添加任一项系统提供的验证值,以完成域名所有权验证;
点击【立即验证】,完成域名验证。

6. 配置SSO映射
配置SSO映射后,邀请域用户能够通过SSO登录地址,访问工作空间;
1)自动映射配置:
- 登录Nota Sign工作台,点击【全局设置】;

- 在【域名】页面中点击【管理设置】;

- 在【设置】页面中选择【添加SSO】映射,定义不同IdP域名下成员登录时的工作空间;

根据需求勾选是否【只允许访问SSO映射空间】以及是否【只允许SSO登录】;
点击【添加白名单用户】,设置个别用户登录权限;
点击【保存】完成设置。

管理员在对应空间对域用户发起邀请,未被邀请的域用户无权限进入该工作空间;系统将在用户通过SSO登录时,自动为其创建Nota Sign账号。
添加SSO映射即表示除白名单用户外,对应域名下的其他所有用户通过此IdP登录默认工作空间。
勾选【只允许访问SSO映射空间】后,成员无法访问个人空间。
勾选【只允许SSO登录】后,成员无法通过账号密码登录Nota Sign。
7. SSO用户登录与签署
1)SSO用户登录Nota Sign平台
本场景适用于SSO用户登录Nota Sign平台。管理员发送邀请加入工作空间邀请后,成员通过邮箱查看系统发送邮件,点击【立即加入】;
打开SSO登陆页面,选择登陆方式。

方式一:通过Nota Sign账号登录
进入Nota Sign登录平台,通过邮箱密码直接登录;

方式二:通过SSO登录
通过第三方登录地址(以Microsoft为例),输入账号密码, 点击登录,进入工作台。

当用户已建立SSO映射,且管理员未勾选【只允许SSO登录】,成员可通过SSO登录或选择Nota Sign账号密码登录;当管理员已设置只允许SSO登录时,用户仅允许通过SSO登录。
2)收件人通过SSO登录签署
收件人点击邮箱签署链接,根据以下不同场景操作:
发送方与收件人属于不同域名
- 收件人选择通过SSO登录或通过Nota Sign账号密码登录;

- 若选择【通过SSO登录】,且收件人被允许登录多个工作空间,则需选择进入的工作空间,点击【登录】;


- 跳转至第三方登录,(以Microsoft为例),输入账号密码, 点击登录,进入签署页面。

发件方与收件人属于同一域名
- 收件人选择通过SSO登录或通过Nota Sign账号密码登录;

若选择【通过SSO登录】,则直接进入与发件人同一域名的对应工作空间;
跳转至第三方登录,(以Microsoft为例),输入账号密码, 点击登录,进入签署页面。

注意:若收件人所属工作空间管理员已勾选【仅允许SSO登录】,则收件人无法通过Nota Sign账号密码登录。

8. 验证配置
使用企业域名账号在IdP登录;
成功验证后,受邀请成员可自动跳转并登录到Nota Sign,无需再次输入密码;
建议管理员先用测试账号验证配置正确,再逐步向全体用户开放。
完成以上步骤后,企业用户即可通过企业IdP的SSO机制安全访问Nota Sign,统一管理账号与权限。