Skip to content
繁體中文

Nota Sign 單點登入(SSO)支援說明

一、什麼是 Single Sign-on

單點登入(Single Sign-On,SSO)是一種企業級身份認證機制,使用者只需透過公司統一的身份認證系統登入一次,即可訪問多個已建立信任關係的業務系統和應用,無需在每個系統中重複輸入用戶名和密碼。

在Nota Sign中啟用 SSO 後,員工可直接使用企業帳號登入,無需額外建立或記住新的平台帳號。當用戶已登入企業內部系統(如郵箱、入口網站或人事系統)時,可無縫跳轉並訪問 Nota Sign SaaS 平台,提升使用體驗,同時確保身份驗證符合企業安全要求。

1. 典型應用場景

企業通常在以下場景中使用SSO:

  • 集中式身份管理: 企業可透過主流身份提供商(IdP),如 Microsoft Entra ID、Okta、Authing、阿里雲 IDaaS 等,基於 SAML 2.0 協議,將 Nota Sign 接入現有認證體系,實現統一身份認證與集中化管理。

  • 提升安全性: 減少帳號和密碼的重複使用,結合多因素認證等安全策略,降低風險。

  • 提升用戶體驗: 員工可使用企業統一帳號直接訪問 Nota Sign,無需在不同系統間反覆輸入憑證。

  • 人員變動管理: 當員工離職時,企業只需在身份提供商中移除帳號,即可自動收回其對 Nota Sign 的訪問權限,減少額外的運維工作。

二、Nota Sign 的 SSO 功能支援

  • 多身份提供商支援: 基於 SAML 2.0 標準協議,可與主流 IdP 集成(如 Microsoft Entra ID、Okta、Authing、阿里雲 IDaaS)。

  • 企業網域配置: 支援綁定企業網域,實現基於網域的身份認證。

  • SSO 映射(Mapping): 管理員發送工作空間邀請後,受邀的網域使用者成員可透過SSO登入該工作空間;未被邀請的網域使用者無法直接存取。

  • 靈活的登入方式: 用戶可依據管理員設定,選擇透過 SSO 登入,或繼續使用 Nota Sign 原有帳號登入。

  • 審計與合規: 所有 SSO 登入事件均可追溯,滿足企業安全與合規性要求。


三、配置 Nota Sign 的 SSO

要在企業中啟用Nota Sign的單一登入(SSO),請依照以下步驟進行:

1. 註冊帳號

前往Nota Sign 註冊頁面,註冊企業管理員帳號。

image-log_in

2. 開通訂閱

依據企業需求,聯繫銷售开通SSO功能订阅套餐。訂閱開通後,管理員將獲得SSO配置權限。

3. 在身份識別提供者(IdP)側配置 SSO(以 Microsoft 為例)

說明:

  • Nota Sign支援基於SAML 2.0 的整合模式;

  • 登入帳號目前無法實現IdP與SP的自動同步,需在法大大SaaS後台手動新增;

  • 您需要擁有:內部統一帳號登入系統(IdP)的管理權限。

以下以 Microsoft Azure 為例,示範如何配置 SSO:

1)建立 SAML 應用程式

1.登入 IdP;

2.選擇【企業應用程式】,點擊【新增應用程式】;

image01

3.點擊【建立您自己的應用程式】;

4.輸入應用程式名稱,建議名稱與企業名稱一致以便識別;

5.勾選【整合未在庫中找到的任何其他應用程式(非庫)】。

image02

2)取得 SAML 應用程式配置

1.開啟已建立的應用程式頁面,點擊左側選單【單一登入】;

2.選擇【SAML】登入;

image03-99ac6a

3.將 SP Entity ID、SP 回呼位址(回呼 URL / ACS URL) 和 單一登入位址(登入 URL) 分別複製回 SAML 應用程式配置中。

image04-624848

3)下載中繼資料檔案

下載 SAML 應用程式的聯合中繼資料檔(Metadata XML)。

image06-3ef697

4. 在 Nota Sign 配置 IdP

您必須擁有 Nota Sign(SP)管理員權限。

1)如何配置 IdP

  1. 打開 Nota Sign 工作台,點擊【全域設定】;

image11

  1. 點擊【身份識別提供者】,選擇【新增身份識別提供者】;

image12

  1. 輸入IdP名稱並選擇協議類型(目前僅支援 SAML 2.0),點擊【確定】;

image13

  1. 上載已下載的中繼資料檔案,或手動填寫IdP資訊,點擊【確定】完成綁定。

image14

2)如何停用 IdP

  1. 打開Nota Sign工作台,點擊【全域設定】;

image11

  1. 點擊【身份識別提供者】,選擇要停用的IdP,點擊其對應的【管理設定】;

image07-e978fb

  1. 關閉【已啟用】按鈕;

iamge08

  1. 停用IdP後,可在【身份識別提供者】介面刪除該IdP。

image09-96ad46

5. 配置企業網域

1)添加網域

  1. 登入Nota Sign工作台,點擊【全域設定】;

image01

  1. 點擊【網域名稱】,選擇【新增網域名稱】;

image02

  1. 輸入網域地址,點擊【認領】;

image03-53f6cb

2)驗證網域

  1. 在網域服務商的DNS配置中新增任一系統提供的驗證值,以完成網域所有權驗證;

  2. 點擊【立即驗證】;

image04-27fae5

6. 配置 SSO 映射

配置SSO映射後,邀請的網域使用者能夠透過SSO登入地址,訪問工作空間。

1)自動映射配置:

  1. 登入Nota Sign工作台,點擊【全域設定】;

image01

  1. 在【網域名稱】頁面中點擊【管理設定】;

image02

  1. 在【設定】頁面中選擇【新增SSO映射】,定義不同IdP網域下成員登入時的預設工作空間;

image08

  1. 根據需求勾選是否【只允許存取SSO映射空間】,以及是否【只允許SS0登入】;

  2. 點擊【新增白名單用戶】,設置個別使用者登入權限;

  3. 點擊【保存】完成設置。

image09-6dd8e1

管理員可在對應的工作空間中向網域用戶發送邀請,未被邀請的網域用戶將無權進入該工作空間。

勾選【只允許存取SSO映射空間】後,成員將無法存取個人空間。

勾選【只允許SS0登入】後,成員將無法再以帳號密碼登入Nota Sign。

7. SSO 用戶登入與簽署

1)SSO 用戶登入 Nota Sign 平台

本場景適用於SSO用戶登入Nota Sign平台。管理員發送加入工作空間的邀請後,成員可透過電郵查閱系統發送的郵件,並點擊【立即加入】;

打開SSO登錄頁面,選擇登入方式。

IMAGE11

方式一:透過 Nota Sign 帳號登入

進入Nota Sign登入平台,通,使用電郵及密碼直接登入。

image05-2695dc

方式二:透過SSO登入

透過第三方登入連結(以Microsoft為例),輸入帳號密碼後點擊【登入】,即可進入工作台。

image03-b18815

– 當使用者已建立SSO映射,且管理員未勾選【僅允許SSO登入】時,成員可選擇透過SSO登入或使用Nota Sign帳號密碼登入;當管理員已設定僅允許SSO登入時,用戶僅可透過SSO登入。-

2)收件人透過SSO登入簽署

收件人點擊電郵中的簽署連結後,請依照以下不同情況操作:

發件人與收件人屬於不同網域
  1. 收件人可選擇透過SSO登入或使用Nota Sign帳號密碼登入;

image04-2cac2d

  1. 若選擇【透過SSO登入】,且收件人被允許登入多個工作空間,需選擇要進入的工作空間並點擊【登入】;

image05-8866d3

image06-5cc64b

  1. 系統將跳轉至第三方登入頁面(以Microsoft為例),輸入帳號密碼後點擊【登入】,即可進入簽署頁面。

image03-b18815

發件人與收件人屬於相同網域
  1. 收件人可選擇透過SSO登入或使用Nota Sign帳號密碼登入;

image04-2cac2d

  1. 若選擇【透過SSO登入】,將直接進入與發件人相同網域的對應工作空間;

  2. 系統將跳轉至第三方登入頁面(以Microsoft為例),輸入帳號密碼後點擊【登入】,即可進入簽署頁面。

image03-b18815

注意:若收件人所屬工作空間的管理員已勾選【僅允許SSO登入】,則收件人將無法使用Nota Sign帳號密碼登入。

image07-e3504f

8. 驗證配置

  1. 使用企業網域帳號於IdP登入;

  2. 成功驗證後,用戶將自動登入至Nota Sign,無需再次輸入密碼;

  3. 建議管理員先使用測試帳號驗證配置正確,再逐步向所有使用者開放。

完成以上步驟後,企業使用者即可透過企業IdP的SSO機制安全存取Nota Sign,實現帳號與權限的統一管理。