Nota Sign 單點登入(SSO)支援說明
一、什麼是 Single Sign-on
單點登入(Single Sign-On,SSO)是一種企業級身份認證機制,使用者只需透過公司統一的身份認證系統登入一次,即可訪問多個已建立信任關係的業務系統和應用,無需在每個系統中重複輸入用戶名和密碼。
在Nota Sign中啟用 SSO 後,員工可直接使用企業帳號登入,無需額外建立或記住新的平台帳號。當用戶已登入企業內部系統(如郵箱、入口網站或人事系統)時,可無縫跳轉並訪問 Nota Sign SaaS 平台,提升使用體驗,同時確保身份驗證符合企業安全要求。
1. 典型應用場景
企業通常在以下場景中使用SSO:
集中式身份管理: 企業可透過主流身份提供商(IdP),如 Microsoft Entra ID、Okta、Authing、阿里雲 IDaaS 等,基於 SAML 2.0 協議,將 Nota Sign 接入現有認證體系,實現統一身份認證與集中化管理。
提升安全性: 減少帳號和密碼的重複使用,結合多因素認證等安全策略,降低風險。
提升用戶體驗: 員工可使用企業統一帳號直接訪問 Nota Sign,無需在不同系統間反覆輸入憑證。
人員變動管理: 當員工離職時,企業只需在身份提供商中移除帳號,即可自動收回其對 Nota Sign 的訪問權限,減少額外的運維工作。
二、Nota Sign 的 SSO 功能支援
多身份提供商支援: 基於 SAML 2.0 標準協議,可與主流 IdP 集成(如 Microsoft Entra ID、Okta、Authing、阿里雲 IDaaS)。
企業網域配置: 支援綁定企業網域,實現基於網域的身份認證。
SSO 映射(Mapping): 管理員發送工作空間邀請後,受邀的網域使用者成員可透過SSO登入該工作空間;未被邀請的網域使用者無法直接存取。
靈活的登入方式: 用戶可依據管理員設定,選擇透過 SSO 登入,或繼續使用 Nota Sign 原有帳號登入。
審計與合規: 所有 SSO 登入事件均可追溯,滿足企業安全與合規性要求。
三、配置 Nota Sign 的 SSO
要在企業中啟用Nota Sign的單一登入(SSO),請依照以下步驟進行:
1. 註冊帳號
前往Nota Sign 註冊頁面,註冊企業管理員帳號。

2. 開通訂閱
依據企業需求,聯繫銷售开通SSO功能订阅套餐。訂閱開通後,管理員將獲得SSO配置權限。
3. 在身份識別提供者(IdP)側配置 SSO(以 Microsoft 為例)
說明:
Nota Sign支援基於SAML 2.0 的整合模式;
登入帳號目前無法實現IdP與SP的自動同步,需在法大大SaaS後台手動新增;
您需要擁有:內部統一帳號登入系統(IdP)的管理權限。
以下以 Microsoft Azure 為例,示範如何配置 SSO:
1)建立 SAML 應用程式
1.登入 IdP;
2.選擇【企業應用程式】,點擊【新增應用程式】;

3.點擊【建立您自己的應用程式】;
4.輸入應用程式名稱,建議名稱與企業名稱一致以便識別;
5.勾選【整合未在庫中找到的任何其他應用程式(非庫)】。

2)取得 SAML 應用程式配置
1.開啟已建立的應用程式頁面,點擊左側選單【單一登入】;
2.選擇【SAML】登入;

3.將 SP Entity ID、SP 回呼位址(回呼 URL / ACS URL) 和 單一登入位址(登入 URL) 分別複製回 SAML 應用程式配置中。

3)下載中繼資料檔案
下載 SAML 應用程式的聯合中繼資料檔(Metadata XML)。

4. 在 Nota Sign 配置 IdP
您必須擁有 Nota Sign(SP)管理員權限。
1)如何配置 IdP
- 打開 Nota Sign 工作台,點擊【全域設定】;

- 點擊【身份識別提供者】,選擇【新增身份識別提供者】;

- 輸入IdP名稱並選擇協議類型(目前僅支援 SAML 2.0),點擊【確定】;

- 上載已下載的中繼資料檔案,或手動填寫IdP資訊,點擊【確定】完成綁定。

2)如何停用 IdP
- 打開Nota Sign工作台,點擊【全域設定】;

- 點擊【身份識別提供者】,選擇要停用的IdP,點擊其對應的【管理設定】;

- 關閉【已啟用】按鈕;

- 停用IdP後,可在【身份識別提供者】介面刪除該IdP。

5. 配置企業網域
1)添加網域
- 登入Nota Sign工作台,點擊【全域設定】;

- 點擊【網域名稱】,選擇【新增網域名稱】;

- 輸入網域地址,點擊【認領】;

2)驗證網域
在網域服務商的DNS配置中新增任一系統提供的驗證值,以完成網域所有權驗證;
點擊【立即驗證】;

6. 配置 SSO 映射
配置SSO映射後,邀請的網域使用者能夠透過SSO登入地址,訪問工作空間。
1)自動映射配置:
- 登入Nota Sign工作台,點擊【全域設定】;

- 在【網域名稱】頁面中點擊【管理設定】;

- 在【設定】頁面中選擇【新增SSO映射】,定義不同IdP網域下成員登入時的預設工作空間;

根據需求勾選是否【只允許存取SSO映射空間】,以及是否【只允許SS0登入】;
點擊【新增白名單用戶】,設置個別使用者登入權限;
點擊【保存】完成設置。

管理員可在對應的工作空間中向網域用戶發送邀請,未被邀請的網域用戶將無權進入該工作空間。
勾選【只允許存取SSO映射空間】後,成員將無法存取個人空間。
勾選【只允許SS0登入】後,成員將無法再以帳號密碼登入Nota Sign。
7. SSO 用戶登入與簽署
1)SSO 用戶登入 Nota Sign 平台
本場景適用於SSO用戶登入Nota Sign平台。管理員發送加入工作空間的邀請後,成員可透過電郵查閱系統發送的郵件,並點擊【立即加入】;
打開SSO登錄頁面,選擇登入方式。

方式一:透過 Nota Sign 帳號登入
進入Nota Sign登入平台,通,使用電郵及密碼直接登入。

方式二:透過SSO登入
透過第三方登入連結(以Microsoft為例),輸入帳號密碼後點擊【登入】,即可進入工作台。

– 當使用者已建立SSO映射,且管理員未勾選【僅允許SSO登入】時,成員可選擇透過SSO登入或使用Nota Sign帳號密碼登入;當管理員已設定僅允許SSO登入時,用戶僅可透過SSO登入。-
2)收件人透過SSO登入簽署
收件人點擊電郵中的簽署連結後,請依照以下不同情況操作:
發件人與收件人屬於不同網域
- 收件人可選擇透過SSO登入或使用Nota Sign帳號密碼登入;

- 若選擇【透過SSO登入】,且收件人被允許登入多個工作空間,需選擇要進入的工作空間並點擊【登入】;


- 系統將跳轉至第三方登入頁面(以Microsoft為例),輸入帳號密碼後點擊【登入】,即可進入簽署頁面。

發件人與收件人屬於相同網域
- 收件人可選擇透過SSO登入或使用Nota Sign帳號密碼登入;

若選擇【透過SSO登入】,將直接進入與發件人相同網域的對應工作空間;
系統將跳轉至第三方登入頁面(以Microsoft為例),輸入帳號密碼後點擊【登入】,即可進入簽署頁面。

注意:若收件人所屬工作空間的管理員已勾選【僅允許SSO登入】,則收件人將無法使用Nota Sign帳號密碼登入。

8. 驗證配置
使用企業網域帳號於IdP登入;
成功驗證後,用戶將自動登入至Nota Sign,無需再次輸入密碼;
建議管理員先使用測試帳號驗證配置正確,再逐步向所有使用者開放。
完成以上步驟後,企業使用者即可透過企業IdP的SSO機制安全存取Nota Sign,實現帳號與權限的統一管理。