Konfigureer eenmalige aanmelding (SAML & OIDC)

CalendarBridge laat organisasie-administrateurs toe om eenmalige aanmelding te aktiveer sodat jou gebruikers by CalendarBridge aanmeld met dieselfde identiteitsverskaffer wat hulle reeds vir alles anders gebruik. Hierdie gids dek beide ondersteunde protokolle, die presiese diensverskaffer-waardes om aan jou identiteitsverskaffer te gee, eienskap-afbeeldings, toetsing en probleemoplossing.

C Chad Bygewerk 16 Junie 2026 8 min lees

Eenmalige aanmelding in 'n oogopslag

Eenmalige aanmelding (SSO) laat jou span toe om by CalendarBridge te verifieer deur jou organisasie se identiteitsverskaffer (IdP) in plaas van 'n aparte CalendarBridge-wagwoord. Wanneer SSO afgedwing word, word elke gebruiker op jou geverifieerde domein na jou IdP herlei om aan te meld, en toegang kan sentraal verleen of herroep word.

Ondersteunde identiteitsverskaffers

CalendarBridge werk met enige standaard-nakomende SAML 2.0- of OIDC-identiteitsverskaffer. Die Bestuur Organisasie-portaal sluit ingeboude, stap-vir-stap-opstelgidse in vir die volgende:

IdentiteitsverskafferSAML 2.0OpenID ConnectVerskaffer-dokumentasie
Microsoft Entra ID (Azure AD) Ja Ja Konfigureer SSO in Entra ID
Okta Ja Ja Skep 'n SAML/OIDC-toepassing in Okta
Google Workspace Ja Stel 'n pasgemaakte SAML-toepassing op
JumpCloud Ja SSO met 'n pasgemaakte SAML-toepassing
Enige ander SAML 2.0 / OIDC IdP Ja Ja Gebruik die generiese waardes in hierdie artikel.
info
Microsoft Entra ID-galerylysting CalendarBridge ondersteun SP-geïnisieerde en IdP-geïnisieerde SAML 2.0 en valideer die SAML-bewering se ondertekeningsertifikaat, geldigheidsvenster, uitreiker en gehoor. Vir die aanbevole Entra ID-opstelling, rig CalendarBridge op die App Federation Metadata URL sodat sertifikaatrotasie outomaties hanteer word.

Lisensiëring

SSO en SCIM-voorsiening is ingesluit by CalendarBridge Groep- (Organisasie-) intekeninge. Daar is geen aparte byvoeging-koste van CalendarBridge om SSO te aktiveer nie. Let daarop dat sommige identiteitsverskaffers hul voorsienings-/SCIM-funksies agter spesifieke uitgawes hou — byvoorbeeld, Google Workspace outo-voorsiening vereis Enterprise Standard, Enterprise Plus of Education Plus. Microsoft Entra ID outomatiese gebruikersvoorsiening vereis 'n Microsoft Entra ID P1- of P2-lisensie in jou huurder.

Wie SSO kan konfigureer (rolgebaseerde toegang)

Slegs 'n CalendarBridge organisasie-administrateur kan SSO- en SCIM-instellings sien of verander. Gewone lede sien nooit hierdie kontroles nie. Om SSO te bestuur moet jy:

lightbulb
Hou 'n noodtoegang-administrateur Wanneer jy SSO afdwing, maak seker dat ten minste een organisasie-administrateur steeds die rekening kan bereik as die IdP onbeskikbaar is. CalendarBridge-administrateurs behou 'n omseilingspad sodat jy nooit uitgesluit word tydens 'n IdP-onderbreking nie.

Maak die Eenmalige aanmelding-oortjie oop

  1. Maak die Bestuur Organisasie-portaal oop

    Vanaf jou CalendarBridge-paneelbord, klik Bestuur jou organisasie, of gaan direk na calendarbridge.com/dashboard/organization.

  2. Kies die Eenmalige aanmelding-oortjie

    Kies die Eenmalige aanmelding-oortjie. As jy nog nie SSO gekonfigureer het nie, sal jy 'n Konfigureer SSO-knoppie sien.

  3. Klik Konfigureer SSO

    Kies jou protokol (SAML of OIDC), wys die geverifieerde domein toe waarop hierdie konfigurasie van toepassing is, en kies jou identiteitsverskaffer om 'n inlyn, verskaffer-spesifieke opstelgids te openbaar.

Konfigureer SAML 2.0

SAML-opstelling is 'n tweerigting-uitruil: jy gee CalendarBridge se diensverskaffer (SP)-waardes aan jou IdP, en jy gee CalendarBridge jou IdP se metadata in ruil.

Diensverskaffer-waardes om in jou IdP in te voer

Dit is die waardes wat jy in jou identiteitsverskaffer plak wanneer jy die CalendarBridge-toepassing skep. Die presiese, gereed-om-te-kopieer waardes vir jou rekening word met Kopieer-knoppies in die Eenmalige aanmelding-oortjie gewys — kopieer hulle altyd vanaf die portaal eerder as om hulle met die hand te tik.

Veld (etiket wissel volgens IdP)Waarde
Entity ID / Audience URI / SP Entity ID urn:amazon:cognito:sp:<your-pool-id> — kopieer die presiese waarde vanaf die SSO-oortjie.
ACS URL / Reply URL / Single sign-on URL https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — kopieer die presiese waarde vanaf die SSO-oortjie.
Name ID format EmailAddress (volgehoue e-pos)
Binding HTTP-POST vir die bewering; HTTP-Redirect vir die versoek.

Vereiste eienskap-afbeeldings

Beeld hierdie eise in jou IdP af. Voer die App-eienskap-naam presies in soos gewys — dit word ook met kopieer-knoppies in die portaal gelys.

App-eienskap (voer presies in)Beeld af van (in jou IdP)
emailPrimêre e-pos / E-pos / user.mail
nameVoornaam / gegewe naam / user.givenname

Microsoft Entra ID (Azure AD) — SAML

  1. Skep die toepassing

    In die Microsoft Entra-administrasiesentrum, gaan na Enterprise applications → New application → Create your own application → "Integrate any other application you don't find in the gallery."

  2. Maak Single sign-on → SAML oop

    In Basic SAML Configuration, voer in:

    • Identifier (Entity ID): die Entity ID vanaf die CalendarBridge SSO-oortjie.
    • Reply URL (ACS): die ACS URL vanaf die CalendarBridge SSO-oortjie.
  3. Konfigureer eienskappe & eise

    Voeg die email- en name-eise by van die eienskap-afbeeldings hierbo, en stel die Name ID na die gebruiker se e-pos.

  4. Kopieer die App Federation Metadata URL

    Onder SAML Signing Certificate, kopieer die App Federation Metadata URL (dit eindig op /federationmetadata/2007-06/federationmetadata.xml). Deur die URL te gebruik — eerder as om 'n statiese XML-lêer op te laai — laat CalendarBridge sertifikaatrotasies outomaties optel.

  5. Wys gebruikers toe, voltooi dan in CalendarBridge

    Wys die gebruikers of groepe toe wat toegang moet hê, keer dan terug na die CalendarBridge SSO-oortjie, plak die metadata-URL, en stoor.

Okta, Google Workspace, JumpCloud & ander — SAML

Die vloei is dieselfde vir elke IdP: skep 'n pasgemaakte SAML-toepassing, plak die diensverskaffer-waardes in, voeg die eienskap-afbeeldings by, gee dan vir CalendarBridge die IdP-metadata. Die portaal wys die presiese kieslysroetes vir Okta, Google Workspace en JumpCloud wanneer jy daardie verskaffer kies. Jy kan die IdP-metadata op twee maniere in die CalendarBridge SSO-oortjie verskaf:

Konfigureer OpenID Connect (OIDC)

Vir IdP's wat jy eerder oor OIDC/OAuth 2.0 wil koppel, gebruik CalendarBridge die Authorization Code-vloei. Jy sal 'n Web-toepassing in jou IdP skep en CalendarBridge drie waardes gee.

Redirect URI om in jou IdP in te voer

VeldWaarde
Redirect URI / Sign-in redirect URI (platform: Web)https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — kopieer die presiese waarde vanaf die SSO-oortjie.

Waardes om in CalendarBridge in te voer

CalendarBridge-veldWaar om dit in jou IdP te vind
Discovery URLJou IdP se OpenID-konfigurasiedokument, bv. https://<your-idp>/.well-known/openid-configuration.
Client IDVan die toepassingsregistrasie wat jy geskep het.
Client Secret'n Geheim wat jy in die toepassingsregistrasie genereer.

Toestemmings (scopes) wat versoek word en waarom

CalendarBridge versoek slegs die minimum, standaard OIDC-scopes wat nodig is om die aanmeldende gebruiker te identifiseer. Dit versoek nie toegang tot pos, lêers of kalenderdata deur die SSO-verbinding nie.

ScopeWaarom dit versoek word (besigheidsregverdiging)
openidVereis om OpenID Connect-verifikasie uit te voer en 'n ID-token te ontvang.
emailGebruik as die gebruiker se unieke identifiseerder om hulle aan jou CalendarBridge-organisasie en geverifieerde domein te pas.
profileLees basiese profiel (gegewe naam) om die gebruiker se vertoonnaam met die eerste aanmelding te vul.
info
Minste-voorreg-toestemming Dit is gedelegeerde, slegs-aanmelding-scopes. 'n Administrateur (of die gebruiker, volgens jou huurder se toestemmingsbeleid) verleen toestemming een keer met die eerste aanmelding. CalendarBridge versoek geen toepassingstoestemmings en geen Microsoft Graph pos-/kalendertoestemmings as deel van SSO nie.

Microsoft Entra ID — OIDC

  1. Registreer die toepassing

    In die Microsoft Entra-administrasiesentrum, gaan na App registrations → New registration.

  2. Voeg die redirect URI by

    Voeg 'n Web-platform redirect URI by, gestel op die CalendarBridge OIDC redirect URI wat in die SSO-oortjie gewys word.

  3. Skep 'n client secret

    Onder Certificates & secrets → New client secret, skep 'n geheim en kopieer sy waarde onmiddellik.

  4. Kopieer die discovery (metadata) URL

    Vanaf Overview → Endpoints, kopieer die OpenID Connect metadata document-URL. Plak die discovery URL, client ID en client secret in die CalendarBridge SSO-oortjie en stoor.

Afdwing van SSO vir jou domein

By verstek maak die aktivering van SSO dit beskikbaar aan gebruikers op die domein. Merk Dwing SSO af in die opstelvorm om dit te vereis: elke gebruiker op daardie geverifieerde domein moet dan deur jou IdP aanmeld, en direkte wagwoord-aanmelding word vir hulle gedeaktiveer.

warning
Toets voordat jy afdwing Bevestig dat 'n loodsgebruiker via SSO kan aanmeld (volgende afdeling) voordat jy afdwinging aktiveer, sodat jy nie gebruikers uitsluit weens 'n metadata- of eienskap-afbeeldingsfout nie. CalendarBridge-administrateurs behou 'n omseilingspad vir noodtoegang.

Toets met loodsgebruikers

  1. Bevestig dat die konfigurasie Aktief is

    Nadat jy gestoor het, wys die konfigurasiekaart 'n statuskenteken. Wag totdat dit Aktief lees. 'n Hangende-kenteken beteken dat CalendarBridge nog nie die IdP-metadata gevalideer het nie; 'n Fout-kenteken wys die rede inlyn.

  2. Wys 'n loodsgebruiker in jou IdP toe

    Wys een of twee toetsgebruikers aan die CalendarBridge-toepassing in jou IdP toe, maar laat afdwinging af vir nou.

  3. Meld aan deur SSO

    Laat die loodsgebruiker by CalendarBridge aanmeld met jou organisasie se e-pos/domein. Hulle behoort na jou IdP herlei te word en aangemeld na CalendarBridge teruggegee te word. Bevestig dat hul naam en e-pos korrek gevul is.

  4. Rol uit

    Sodra die loodstoets slaag, wys die res van jou gebruikers toe en, indien verkies, skakel Dwing SSO af aan.

Probleemoplossing

As die konfigurasiekaart 'n Fout-status wys, verduidelik die boodskap wat op die kaart vertoon word die spesifieke mislukking. Algemene gevalle:

Simptoom / boodskapWaarskynlike oorsaak & oplossing
Status vasgesteek op Hangende of "kon nie metadata haal nie" Die metadata-URL is onbereikbaar of het nie-XML teruggegee. Verifieer dat die URL in 'n blaaier laai, of skakel oor na die oplaai van die metadata-XML-lêer.
"Invalid signature" / "certificate"-fout Die IdP se ondertekeningsertifikaat het geroteer en die gestoorde metadata is verouderd. Stoor weer met die IdP metadata-URL (aanbeveel) sodat rotasies outomaties opgetel word, of laai die huidige XML weer op.
"Audience" / "Issuer"-wanverhouding Die Entity ID / Audience URI in jou IdP pas nie presies by die waarde van die SSO-oortjie nie. Kopieer dit weer vanaf die portaal.
Gebruiker meld aan maar naam/e-pos is leeg of verwerp Die email- en name-eienskap-afbeeldings ontbreek of is verkeerd benoem. Kontroleer die vereiste eienskap-afbeeldings weer — name is hooflettergevoelig.
"AADSTS50105" / gebruiker nie toegewys nie (Entra ID) Die gebruiker is nie aan die CalendarBridge enterprise-toepassing in Entra ID toegewys nie. Wys die gebruiker of hul groep toe.
Redirect/Reply URL-wanverhouding Die ACS URL (SAML) of Redirect URI (OIDC) in jou IdP pas nie by die waarde in die SSO-oortjie nie. Kopieer die presiese waarde weer.

Kry hulp

As jy vassit nadat jy die foutboodskap op die konfigurasiekaart en die probleemoplossingstabel hierbo nagegaan het, kontak CalendarBridge-ondersteuning. Sluit jou organisasie se domein in, die protokol (SAML/OIDC), jou identiteitsverskaffer, en die presiese statusboodskap wat op die kaart gewys word.