为 Campus-Wide License 用户配置身份验证

配置身份验证，以便用户可以访问您的 Campus-Wide License 上的 MathWorks^® 产品和服务。MathWorks 提供两种用户身份验证方法：单点登录 (SSO) 和电子邮件验证。

选项 1：启用使用 SSO 访问（推荐）

SSO 允许 Campus-Wide License 上的用户使用其大学凭据访问 MathWorks 产品和服务。SSO 的好处包括：

仅需一个密码，用户无需储存多个密码
通过最小化登录请求来简化用户访问
通过即时访问 App 和服务来加速工作流程
通过单一身份验证点增强安全性，从而限制重用密码
通过集中控制用户帐户和基于角色的访问配置来实现集中的 IT 管理

大学可以直接实现 SSO（无需成为联盟成员），或通过与其 InCommon 和 eduGAIN 联盟成员的隶属关系实现 SSO。

具有与 Campus-Wide License 关联的域之外的非大学电子邮件地址的用户无法使用 SSO。他们必须输入其 MathWorks 帐户电子邮件和密码才能登录。请参阅选项 2：启用使用电子邮件验证的访问。

SSO 要求

SSO 要求使用身份提供方 (IdP)。

要使用 InCommon 或 eduGAIN SSO，您的大学必须为 InCommon 或 eduGAIN 隶属联盟的 IdP 参与者。
要使用直接 SSO，您的大学必须使用支持 SAML 2.0 的 IdP。

这两种 SSO 方法都使用 SAML 2.0 来支持 MathWorks 作为服务提供商与您大学的 IdP 之间的元数据交换。

SSO 配置过程

在您大学的初始设置过程中可能已配置 SSO。要检查是否启用了 SSO，请尝试登录到您的 MathWorks 帐户。如果您被转至大学的登录屏幕，则说明 SSO 已启用。如果未启用 SSO，请联系技术支持以讨论配置过程。

配置过程如下：

（仅直接 SSO）与 MathWorks 交换元数据文件。对于 InCommon 或 eduGAIN SSO，则不需要执行此步骤，因为您的大学已向联盟注册元数据。
1. 将 MathWorks 发送给您的元数据文件集成到您的 IdP 中。
2. 将您的 IdP 的元数据文件发送到 MathWorks。如果您无法提供该文件，则请发送以下信息：
  - IdP 实体 ID
  - IdP 公共证书
  - IdP 绑定方法（HTTP-POST 或 HTTP-Redirect）
  - IdP 登录 URL

配置您的 IdP 以将必需属性传递给 MathWorks。您可以遵循 eduPerson 架构或类似替代方案。为避免影响用户登录，请不要限制或过滤任何必需属性。下表显示要传递给 MathWorks 的属性。

属性描述示例属性名称

唯一 ID

属性	描述	示例属性名称
唯一 ID	用户的唯一标识符 MathWorks 使用此属性在用户登录时验证其身份。	`NameId` `eduPersonPrincipalName` (`ePPN`) `eduPersonTargetedId` (`ePTID`)
隶属关系	用户隶属关系此属性确定哪些用户可以访问产品。具有 `Faculty`、`Staff`、`Student`、`Employee` 或 `Member` 隶属关系的用户将被授予访问权限。具有任何其他隶属关系（例如 `Alumni`）的用户将被拒绝访问。	`Affiliation` `eduPersonScopedAffiliation`
电子邮件地址	用户的电子邮件地址 MathWorks 使用此属性将任何具有现有 MathWorks 帐户的用户关联到 Campus-Wide License。	`mail` `email`
名字	用户的名字在创建 MathWorks 帐户时新用户填写的表单中，会自动用此属性值填充名字字段。如果您不发布此属性，新用户必须手动填写此字段。	`firstName` `givenName`
姓氏	用户的姓氏在创建 MathWorks 帐户时新用户填写的表单中，会自动用此属性值填充姓氏字段。如果您不发布此属性，新用户必须手动填写此字段。	`lastName` `sn` `surname` `familyName`

用户的唯一标识符

MathWorks 使用此属性在用户登录时验证其身份。

NameId

eduPersonPrincipalName (ePPN)

eduPersonTargetedId (ePTID)

隶属关系

用户隶属关系

此属性确定哪些用户可以访问产品。

具有 Faculty、Staff、Student、Employee 或 Member 隶属关系的用户将被授予访问权限。
具有任何其他隶属关系（例如 Alumni）的用户将被拒绝访问。

Affiliation

eduPersonScopedAffiliation

电子邮件地址

用户的电子邮件地址

MathWorks 使用此属性将任何具有现有 MathWorks 帐户的用户关联到 Campus-Wide License。

mail

email

名字

用户的名字

在创建 MathWorks 帐户时新用户填写的表单中，会自动用此属性值填充名字字段。如果您不发布此属性，新用户必须手动填写此字段。

firstName

givenName

姓氏

用户的姓氏

在创建 MathWorks 帐户时新用户填写的表单中，会自动用此属性值填充姓氏字段。如果您不发布此属性，新用户必须手动填写此字段。

lastName

sn

surname

familyName

向 MathWorks 发送隶属于您的允许使用 Campus-Wide License 的组织的电子邮件域。
MathWorks 自动为以下电子邮件域启用 SSO：
- 所有许可证管理员的电子邮件域
- 任何允许的电子邮件域的子域
例如，假设 Campus-Wide License 上的所有许可证管理员都属于电子邮件域 @university.com。任何具有电子邮件域 @university.com 或 @student.university.com 的用户都可以使用 SSO 并关联到该许可证。
要请求将更多电子邮件域添加到 Campus-Wide License，请联系技术支持。
对 MathWorks 运行 SSO 测试，以验证 SSO 是否设置正确。

新用户的 SSO

配置 SSO 后，新用户可以访问 MathWorks 产品和服务。

用户启动 MATLAB^® 或访问另一个需要登录的 MathWorks 产品或服务。系统会提示他们使用其大学电子邮件创建一个 MathWorks 帐户。
MathWorks 会识别电子邮件域并将用户重定向到您大学的登录页。用户使用其大学凭据登录。
用户通过添加启用 SSO 所需的信息来完成其 MathWorks 帐户。
用户现在可以访问 MathWorks 产品或服务，包括 MATLAB 和 Online Training Suite。

SSO workflow for a new user

用户也可以转至其 Campus-Wide License 对应的大学门户并点击登录以开始使用。系统仍会提示用户使用其大学凭据登录并创建一个 MathWorks 帐户，但他们无需输入其大学电子邮件。

现有用户的 SSO

已完成上述步骤或已有关联到其大学电子邮件的现有 MathWorks 帐户的用户可以直接使用其 SSO 凭据登录。

用户访问要求其登录的 MathWorks 产品或服务。用户使用其大学电子邮件登录。
MathWorks 会识别电子邮件域并将用户重定向到您大学的登录页。用户使用其大学凭据登录。
用户现在可以访问 MathWorks 产品或服务。

SSO workflow for an existing user

选项 2：启用使用电子邮件验证的访问

如果您的大学不支持 SSO，您可以通过让用户创建一个 MathWorks 帐户来启用访问，这种方式要求用户验证其电子邮件地址。如果此电子邮件地址与您的 Campus-Wide License 下允许的大学域匹配，则用户将被关联到 Campus-Wide License 并可以开始使用 MATLAB。

系统可能会定期要求用户验证其电子邮件地址，以确认他们仍有资格使用许可证。用户还可以选择双重验证以提高帐户安全性。