Konfiguracja logowania jednokrotnego (SAML i OIDC)

CalendarBridge pozwala administratorom organizacji włączyć logowanie jednokrotne, dzięki czemu użytkownicy logują się do CalendarBridge za pomocą tej samej tożsamości, której już używają do wszystkiego innego. Ten przewodnik obejmuje oba obsługiwane protokoły, dokładne wartości dostawcy usługi do przekazania dostawcy tożsamości, mapowania atrybutów, testowanie oraz rozwiązywanie problemów.

C Chad Zaktualizowano 16 czerwca 2026 8 min czytania

Logowanie jednokrotne w skrócie

Logowanie jednokrotne (SSO) pozwala Twojemu zespołowi uwierzytelniać się w CalendarBridge za pośrednictwem dostawcy tożsamości (IdP) Twojej organizacji, zamiast oddzielnego hasła CalendarBridge. Gdy SSO jest wymuszone, każdy użytkownik z Twojej zweryfikowanej domeny jest przekierowywany do Twojego IdP w celu zalogowania, a dostęp można przyznawać lub odbierać centralnie.

Obsługiwani dostawcy tożsamości

CalendarBridge współpracuje z dowolnym zgodnym ze standardami dostawcą tożsamości SAML 2.0 lub OIDC. Portal Zarządzanie organizacją zawiera wbudowane przewodniki konfiguracji krok po kroku dla następujących:

Dostawca tożsamościSAML 2.0OpenID ConnectDokumentacja dostawcy
Microsoft Entra ID (Azure AD) Tak Tak Konfiguracja SSO w Entra ID
Okta Tak Tak Utwórz aplikację SAML/OIDC w Okta
Google Workspace Tak Skonfiguruj niestandardową aplikację SAML
JumpCloud Tak SSO z niestandardową aplikacją SAML
Dowolny inny IdP SAML 2.0 / OIDC Tak Tak Użyj ogólnych wartości podanych w tym artykule.
info
Wpis w galerii Microsoft Entra ID CalendarBridge obsługuje SAML 2.0 inicjowany przez SP i przez IdP oraz weryfikuje certyfikat podpisujący asercji SAML, okno ważności, wystawcę i odbiorcę. Aby uzyskać zalecaną konfigurację Entra ID, wskaż CalendarBridge App Federation Metadata URL, dzięki czemu rotacja certyfikatów jest obsługiwana automatycznie.

Licencjonowanie

Logowanie jednokrotne (SSO) i provisioning SCIM są wliczone w subskrypcje Grupowe (Organizacyjne) CalendarBridge. Ze strony CalendarBridge nie ma osobnej opłaty za dodatek za włączenie SSO. Należy pamiętać, że niektórzy dostawcy tożsamości udostępniają swoje funkcje provisioningu/SCIM tylko w określonych edycjach — na przykład automatyczny provisioning w Google Workspace wymaga Enterprise Standard, Enterprise Plus lub Education Plus. Automatyczny provisioning użytkowników w Microsoft Entra ID wymaga licencji Microsoft Entra ID P1 lub P2 w Twoim dzierżawcy.

Kto może konfigurować SSO (dostęp oparty na rolach)

Tylko administrator organizacji CalendarBridge może wyświetlać lub zmieniać ustawienia SSO i SCIM. Zwykli członkowie nigdy nie widzą tych elementów sterujących. Aby zarządzać SSO, musisz:

lightbulb
Zachowaj awaryjnego administratora Gdy wymuszasz SSO, upewnij się, że co najmniej jeden administrator organizacji nadal ma dostęp do konta, jeśli IdP jest niedostępny. Administratorzy CalendarBridge zachowują ścieżkę obejścia, dzięki czemu nigdy nie zostaniesz zablokowany podczas awarii IdP.

Otwórz kartę Logowanie jednokrotne

The Single Sign-On tab
  1. Otwórz portal Zarządzanie organizacją

    W panelu CalendarBridge kliknij Zarządzaj swoją organizacją lub przejdź bezpośrednio na calendarbridge.com/dashboard/organization.

  2. Wybierz kartę Logowanie jednokrotne

    Wybierz kartę Logowanie jednokrotne. Jeśli jeszcze nie skonfigurowałeś SSO, zobaczysz przycisk Skonfiguruj SSO.

  3. Kliknij Skonfiguruj SSO

    Wybierz protokół (SAML lub OIDC), przypisz zweryfikowaną domenę, do której odnosi się ta konfiguracja, i wybierz dostawcę tożsamości, aby wyświetlić wbudowany przewodnik konfiguracji specyficzny dla dostawcy.

Konfiguracja SAML 2.0

Configure SAML SSO

Konfiguracja SAML to dwustronna wymiana: podajesz wartości dostawcy usługi (SP) CalendarBridge swojemu IdP, a w zamian podajesz CalendarBridge metadane swojego IdP.

Wartości dostawcy usługi do wprowadzenia w Twoim IdP

To są wartości, które wklejasz do dostawcy tożsamości podczas tworzenia aplikacji CalendarBridge. Dokładne, gotowe do skopiowania wartości dla Twojego konta są wyświetlane z przyciskami Kopiuj na karcie Logowanie jednokrotne — zawsze kopiuj je z portalu, zamiast wpisywać ręcznie.

Pole (etykieta różni się w zależności od IdP)Wartość
Entity ID / Audience URI / SP Entity ID urn:amazon:cognito:sp:<your-pool-id> — skopiuj dokładną wartość z karty SSO.
ACS URL / Reply URL / Single sign-on URL https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — skopiuj dokładną wartość z karty SSO.
Format Name ID EmailAddress (trwały adres e-mail)
Powiązanie (Binding) HTTP-POST dla asercji; HTTP-Redirect dla żądania.

Wymagane mapowania atrybutów

Zmapuj te oświadczenia (claims) w swoim IdP. Wprowadź nazwę atrybutu aplikacji dokładnie tak, jak pokazano — są one również wymienione z przyciskami kopiowania w portalu.

Atrybut aplikacji (wprowadź dokładnie)Mapowany z (w Twoim IdP)
emailPodstawowy e-mail / Email / user.mail
nameImię / given name / user.givenname

Microsoft Entra ID (Azure AD) — SAML

  1. Utwórz aplikację

    W centrum administracyjnym Microsoft Entra przejdź do Aplikacje dla przedsiębiorstw → Nowa aplikacja → Utwórz własną aplikację → „Zintegruj dowolną inną aplikację, której nie znajdujesz w galerii”.

  2. Otwórz Logowanie jednokrotne → SAML

    W Podstawowa konfiguracja SAML wprowadź:

    • Identyfikator (Entity ID): Entity ID z karty SSO CalendarBridge.
    • Reply URL (ACS): ACS URL z karty SSO CalendarBridge.
  3. Skonfiguruj atrybuty i oświadczenia

    Dodaj oświadczenia email i name z mapowań atrybutów powyżej i ustaw Name ID na adres e-mail użytkownika.

  4. Skopiuj App Federation Metadata URL

    W sekcji Certyfikat podpisujący SAML skopiuj App Federation Metadata URL (kończy się na /federationmetadata/2007-06/federationmetadata.xml). Użycie adresu URL — zamiast przesyłania statycznego pliku XML — pozwala CalendarBridge automatycznie wychwytywać rotacje certyfikatów.

  5. Przypisz użytkowników, następnie dokończ w CalendarBridge

    Przypisz użytkowników lub grupy, które powinny mieć dostęp, a następnie wróć do karty SSO CalendarBridge, wklej adres URL metadanych i zapisz.

Okta, Google Workspace, JumpCloud i inne — SAML

Przebieg jest taki sam dla każdego IdP: utwórz niestandardową aplikację SAML, wklej wartości dostawcy usługi, dodaj mapowania atrybutów, a następnie przekaż CalendarBridge metadane IdP. Portal wyświetla dokładne ścieżki menu dla Okta, Google Workspace i JumpCloud po wybraniu danego dostawcy. Metadane IdP możesz podać na dwa sposoby na karcie SSO CalendarBridge:

Konfiguracja OpenID Connect (OIDC)

Configure OIDC SSO

Dla IdP, które wolisz połączyć przez OIDC/OAuth 2.0, CalendarBridge używa przebiegu Authorization Code. Utworzysz aplikację Web w swoim IdP i podasz CalendarBridge trzy wartości.

Redirect URI do wprowadzenia w Twoim IdP

PoleWartość
Redirect URI / Sign-in redirect URI (platforma: Web)https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — skopiuj dokładną wartość z karty SSO.

Wartości do wprowadzenia w CalendarBridge

Pole CalendarBridgeGdzie znaleźć je w Twoim IdP
Discovery URLDokument konfiguracji OpenID Twojego IdP, np. https://<your-idp>/.well-known/openid-configuration.
Client IDZ utworzonej przez Ciebie rejestracji aplikacji.
Client SecretSekret, który generujesz w rejestracji aplikacji.

Żądane uprawnienia (zakresy) i dlaczego

CalendarBridge żąda tylko minimalnych, standardowych zakresów OIDC potrzebnych do identyfikacji logującego się użytkownika. Nie żąda dostępu do poczty, plików ani danych kalendarza za pośrednictwem połączenia SSO.

ZakresDlaczego jest żądany (uzasadnienie biznesowe)
openidWymagany do przeprowadzenia uwierzytelniania OpenID Connect i otrzymania tokenu ID.
emailUżywany jako unikalny identyfikator użytkownika do dopasowania go do Twojej organizacji CalendarBridge i zweryfikowanej domeny.
profileOdczytuje podstawowy profil (imię), aby uzupełnić wyświetlaną nazwę użytkownika przy pierwszym logowaniu.
info
Zgoda o najmniejszych uprawnieniach Są to delegowane zakresy przeznaczone wyłącznie do logowania. Administrator (lub użytkownik, zgodnie z polityką zgody Twojego dzierżawcy) udziela zgody raz przy pierwszym logowaniu. CalendarBridge nie żąda żadnych uprawnień aplikacji ani żadnych uprawnień do poczty/kalendarza Microsoft Graph w ramach SSO.

Microsoft Entra ID — OIDC

  1. Zarejestruj aplikację

    W centrum administracyjnym Microsoft Entra przejdź do Rejestracje aplikacji → Nowa rejestracja.

  2. Dodaj redirect URI

    Dodaj redirect URI platformy Web ustawiony na redirect URI OIDC CalendarBridge wyświetlany na karcie SSO.

  3. Utwórz client secret

    W sekcji Certyfikaty i sekrety → Nowy sekret klienta utwórz sekret i natychmiast skopiuj jego wartość.

  4. Skopiuj URL wykrywania (metadanych)

    W sekcji Przegląd → Punkty końcowe skopiuj adres URL dokumentu metadanych OpenID Connect. Wklej discovery URL, client ID i client secret na kartę SSO CalendarBridge i zapisz.

Wymuszanie SSO dla Twojej domeny

Domyślnie włączenie SSO sprawia, że jest ono dostępne dla użytkowników w domenie. Zaznacz Wymuś SSO w formularzu konfiguracji, aby wymagać go: każdy użytkownik w tej zweryfikowanej domenie musi wówczas logować się za pośrednictwem Twojego IdP, a bezpośrednie logowanie hasłem jest dla niego wyłączone.

warning
Przetestuj przed wymuszeniem Potwierdź, że użytkownik pilotażowy może zalogować się przez SSO (następna sekcja), zanim włączysz wymuszanie, aby nie zablokować użytkowników z powodu błędu metadanych lub mapowania atrybutów. Administratorzy CalendarBridge zachowują ścieżkę obejścia na potrzeby dostępu awaryjnego.

Testowanie z użytkownikami pilotażowymi

  1. Potwierdź, że konfiguracja jest aktywna

    Po zapisaniu karta konfiguracji wyświetla odznakę statusu. Poczekaj, aż będzie wyświetlać Aktywna. Odznaka Oczekująca oznacza, że CalendarBridge nie zweryfikował jeszcze metadanych IdP; odznaka Błąd wyświetla przyczynę bezpośrednio.

  2. Przypisz użytkownika pilotażowego w swoim IdP

    Przypisz jednego lub dwóch użytkowników testowych do aplikacji CalendarBridge w swoim IdP, ale na razie pozostaw wymuszanie wyłączone.

  3. Zaloguj się przez SSO

    Poproś użytkownika pilotażowego o zalogowanie się do CalendarBridge przy użyciu e-maila/domeny Twojej organizacji. Powinien zostać przekierowany do Twojego IdP i wrócić do CalendarBridge już zalogowany. Potwierdź, że jego imię i e-mail zostały poprawnie uzupełnione.

  4. Wdróż

    Gdy pilotaż się powiedzie, przypisz pozostałych użytkowników i, jeśli chcesz, włącz Wymuś SSO.

Rozwiązywanie problemów

Jeśli karta konfiguracji wyświetla status Błąd, komunikat wyświetlany na karcie wyjaśnia konkretną awarię. Częste przypadki:

Objaw / komunikatPrawdopodobna przyczyna i rozwiązanie
Status utknął na Oczekująca lub „nie można pobrać metadanych” Adres URL metadanych jest nieosiągalny lub zwrócił dane inne niż XML. Sprawdź, czy adres URL ładuje się w przeglądarce, albo przełącz się na przesyłanie pliku XML z metadanymi.
Błąd „Nieprawidłowy podpis” / „certyfikat” Certyfikat podpisujący IdP uległ rotacji, a przechowywane metadane są nieaktualne. Zapisz ponownie, używając adresu URL metadanych IdP (zalecane), aby rotacje były wychwytywane automatycznie, lub prześlij ponownie aktualny plik XML.
Niezgodność „Audience” / „Issuer” Entity ID / Audience URI w Twoim IdP nie odpowiada dokładnie wartości z karty SSO. Skopiuj ją ponownie z portalu.
Użytkownik loguje się, ale imię/e-mail jest puste lub odrzucone Mapowania atrybutów email i name są brakujące lub źle nazwane. Sprawdź ponownie wymagane mapowania atrybutów — w nazwach rozróżniana jest wielkość liter.
„AADSTS50105” / użytkownik nieprzypisany (Entra ID) Użytkownik nie jest przypisany do aplikacji dla przedsiębiorstw CalendarBridge w Entra ID. Przypisz użytkownika lub jego grupę.
Niezgodność Redirect/Reply URL ACS URL (SAML) lub Redirect URI (OIDC) w Twoim IdP nie odpowiada wartości na karcie SSO. Skopiuj dokładną wartość ponownie.

Uzyskiwanie pomocy

Jeśli utknąłeś po sprawdzeniu komunikatu o błędzie na karcie konfiguracji i powyższej tabeli rozwiązywania problemów, skontaktuj się z pomocą techniczną CalendarBridge. Dołącz domenę swojej organizacji, protokół (SAML/OIDC), swojego dostawcę tożsamości oraz dokładny komunikat statusu wyświetlany na karcie.