Campus-Wide License 单点登录 (SSO)
概述
单点登录 (SSO) 支持 Campus-Wide License 用户使用其大学凭据访问 MathWorks 产品和服务。大学可以直接实现 SSO(无需成为联盟成员),或通过与其 InCommon 和 eduGAIN 联盟成员的隶属关系实现 SSO。
实现 SSO 的大学可获得以下益处:
- 简化的登录体验 - 用户无需记住多个密码即可访问 MathWorks 产品和服务。
- 增强的安全性 - 单一登录凭据可通过降低网络钓鱼和密码被盗的风险,提高企业安全性。
- 简化的合规性 - 必需的属性断言使身份提供方(大学/组织)能够自动进行用户配置,以节省时间并减少错误。
要启用 SSO,请联系技术支持。
SSO 用户工作流
当 Campus-Wide License 启用 SSO 后,用户必须使用与 Campus-Wide License 所允许的大学域名所匹配的电子邮件地址登录。访问 MathWorks 产品或服务时,使用匹配的电子邮件地址将触发 SSO 过程。在输入具有匹配域名的电子邮件地址后,系统会提示用户使用其大学凭据登录。
如果合格用户没有具有匹配域名的电子邮件地址,许可证管理员必须在 MathWorks 许可证中心手动添加或删除他们。用户在登录 MathWorks 产品或服务时将不会体验 SSO 功能。他们将转而使用其 MathWorks 帐户凭据登录。
技术要求
InCommon/eduGAIN SSO 和直接 SSO 均使用 SAML 2.0 来支持身份提供方(大学)和服务提供商 (MathWorks) 之间的元数据交换。以下各章节描述每种 SSO 类型的具体要求。
直接 SSO 要求
- 支持 SAML 2.0 的身份提供方
- IdP 元数据文件(首选)
如果您无法提供该文件,则作为替代方案,请提供以下信息:
- IdP 实体 ID
- IdP 公共证书
- IdP 绑定(HTTP-POST 或 HTTP-Redirect)
- 登录 URL
还需要发布或映射以下属性:
- 唯一标识符 - MathWorks 要求每个用户都有唯一标识符
- 隶属关系 - MathWorks 使用隶属状态来确定是否应对用户授予访问权限
- 电子邮件地址 - MathWorks 使用电子邮件地址创建个人资料,并将用户关联到正确的 Campus-Wide License
信息
MathWorks 要求不受限制地提交这些属性作为实现 SSO 的条件。对这些属性的任何限制或过滤策略都会对用户与要求登录的其他 MathWorks 服务进行交互的能力产生负面影响。
必需的属性可通过以下方式之一提供:
| Required Attributes | |
|---|---|
Identifier: |
NameId, eduPersonTargetedID (ePTID), or eduPersonPrincipalName (ePPN) |
| Affiliation: | eduPersonScopedAffiliation* or Affiliation* |
| Email: | Mail or email |
*接受的隶属关系值:Faculty、Staff、Student、Employee、Member
InCommon/eduGAIN SSO 要求
InCommon/eduGAIN SSO 还要求大学以身份提供方的身份成为 InCommon 或 eduGAIN 隶属联盟的成员。
以下属性是必须的:
| Required eduPerson Schema Attributes | |
|---|---|
| Identifier: | eduPersonPrincipalName (ePPN) or eduPersonTargetedId (ePTID) |
| Affiliation: | eduPersonScopedAffiliation* |
| Email: |
*接受的隶属关系值:Faculty、Staff、Student、Employee、Member
