設定單一登入(SAML 與 OIDC)
CalendarBridge 讓組織管理員可啟用單一登入,使您的使用者能以他們原本就在其他一切事物上使用的同一個身分提供者登入 CalendarBridge。本指南涵蓋兩種支援的協定、要提供給您身分提供者的確切服務提供者值、屬性對應、測試與疑難排解。
單一登入一覽
單一登入(SSO)讓您的團隊透過貴組織的身分提供者(IdP)向 CalendarBridge 驗證,而不需另設一組 CalendarBridge 密碼。當強制執行 SSO 時,您已驗證網域上的每位使用者都會被重新導向至您的 IdP 登入,且存取權可以集中授予或撤銷。
- 支援的協定:SAML 2.0(SP 發起)與 OpenID Connect(OIDC) / OAuth 2.0 授權碼流程。
- CalendarBridge 版本:SSO 與 SCIM 於 CalendarBridge 群組(組織)方案提供。它們由組織管理員在管理組織入口網站中設定。請參閱群組帳戶授權類型與下方的授權。
- 架構:CalendarBridge 是一個多租戶的 SaaS 應用程式。SSO 是依每個已驗證網域來設定,因此每位客戶都擁有並掌控自己的身分提供者連線。CalendarBridge 只會擷取並信任您為自己網域提供的 IdP 中繼資料/憑證。
支援的身分提供者
CalendarBridge 可與任何符合標準的 SAML 2.0 或 OIDC 身分提供者搭配運作。管理組織入口網站為下列各項提供內建的逐步設定指南:
| 身分提供者 | SAML 2.0 | OpenID Connect | 提供者文件 |
|---|---|---|---|
| Microsoft Entra ID(Azure AD) | 是 | 是 | 在 Entra ID 中設定 SSO |
| Okta | 是 | 是 | 在 Okta 中建立 SAML/OIDC 應用程式 |
| Google Workspace | 是 | — | 設定自訂 SAML 應用程式 |
| JumpCloud | 是 | — | 使用自訂 SAML 應用程式的 SSO |
| 任何其他 SAML 2.0 / OIDC IdP | 是 | 是 | 使用本文中的通用值。 |
授權
SSO 與 SCIM 佈建已包含在 CalendarBridge 群組(組織)訂閱中。CalendarBridge 不會為啟用 SSO 另外收取附加費用。請注意,某些身分提供者會將其佈建/SCIM 功能限定於特定版本——例如,Google Workspace 自動佈建需要 Enterprise Standard、Enterprise Plus 或 Education Plus。Microsoft Entra ID 自動使用者佈建需要您租用戶中具備 Microsoft Entra ID P1 或 P2 授權。
誰可以設定 SSO(角色型存取)
只有 CalendarBridge 組織管理員才能檢視或變更 SSO 與 SCIM 設定。一般成員永遠不會看到這些控制項。若要管理 SSO,您必須:
- 是群組帳戶的管理員(請參閱群組管理入口網站概覽),且
- 在帳戶上至少有一個已驗證網域。SSO 會綁定至一個已驗證網域——請參閱連接已授權網域。
開啟單一登入分頁
-
開啟管理組織入口網站
從您的 CalendarBridge 儀表板點選管理您的組織,或直接前往 calendarbridge.com/dashboard/organization。
-
選擇單一登入分頁
選擇單一登入分頁。若您尚未設定 SSO,您會看到一個設定 SSO按鈕。
-
點選設定 SSO
選擇您的協定(SAML 或 OIDC),指定此設定所適用的已驗證網域,並選擇您的身分提供者,以顯示內嵌、依提供者而定的設定指南。
設定 SAML 2.0
SAML 設定是一種雙向交換:您將 CalendarBridge 的服務提供者(SP)值提供給您的 IdP,而您也把 IdP 的中繼資料回傳給 CalendarBridge。
要在您 IdP 中輸入的服務提供者值
這些是您在建立 CalendarBridge 應用程式時貼進身分提供者的值。針對您帳戶、可直接複製的確切值會顯示在單一登入分頁中,並附有複製按鈕——請務必從入口網站複製,而不要手動鍵入。
| 欄位(標籤依 IdP 而異) | 值 |
|---|---|
| Entity ID / Audience URI / SP Entity ID | urn:amazon:cognito:sp:<your-pool-id>——請從 SSO 分頁複製確切的值。 |
| ACS URL / Reply URL / Single sign-on URL | https://<your-CalendarBridge-auth-domain>/saml2/idpresponse——請從 SSO 分頁複製確切的值。 |
| Name ID 格式 | EmailAddress(持久性電子郵件) |
| 繫結 | 判斷提示使用 HTTP-POST;請求使用 HTTP-Redirect。 |
必要的屬性對應
在您的 IdP 中對應這些宣告。請完全依所示輸入 App 屬性名稱——這些名稱在入口網站中也會附有複製按鈕列出。
| App 屬性(請完全照輸入) | 對應來源(在您的 IdP 中) |
|---|---|
email | 主要電子郵件 / Email / user.mail |
name | 名字 / given name / user.givenname |
Microsoft Entra ID(Azure AD)——SAML
-
建立應用程式
在 Microsoft Entra 管理中心中,前往企業應用程式 → 新增應用程式 → 建立您自己的應用程式 →「整合您在圖庫中找不到的任何其他應用程式」。
-
開啟單一登入 → SAML
在基本 SAML 設定中,輸入:
- 識別碼(Entity ID):來自 CalendarBridge SSO 分頁的 Entity ID。
- 回覆 URL(ACS):來自 CalendarBridge SSO 分頁的 ACS URL。
-
設定屬性與宣告
從上方的屬性對應新增
email與name宣告,並將 Name ID 設為使用者的電子郵件。 -
複製應用程式同盟中繼資料 URL
在 SAML 簽署憑證底下,複製應用程式同盟中繼資料 URL(它以
/federationmetadata/2007-06/federationmetadata.xml結尾)。使用此 URL——而非上傳靜態 XML 檔案——可讓 CalendarBridge 自動接收憑證輪替。 -
指派使用者,然後在 CalendarBridge 中完成
指派應具備存取權的使用者或群組,然後返回 CalendarBridge SSO 分頁,貼上中繼資料 URL 並儲存。
Okta、Google Workspace、JumpCloud 及其他——SAML
每個 IdP 的流程都相同:建立一個自訂 SAML 應用程式、貼上服務提供者值、新增屬性對應,然後把 IdP 中繼資料提供給 CalendarBridge。當您選擇該提供者時,入口網站會顯示 Okta、Google Workspace 與 JumpCloud 的精確選單路徑。您可以在 CalendarBridge SSO 分頁中以兩種方式提供 IdP 中繼資料:
- 中繼資料 URL(建議)——貼上 IdP 的同盟中繼資料 URL;CalendarBridge 會重新擷取它,因此會自動接收憑證輪替。
- 中繼資料 XML——若您的提供者不發布 URL,可上傳 IdP 中繼資料
.xml檔案。
設定 OpenID Connect(OIDC)
對於您偏好以 OIDC/OAuth 2.0 連接的 IdP,CalendarBridge 使用授權碼流程。您會在 IdP 中建立一個 Web 應用程式,並提供 CalendarBridge 三個值。
要在您 IdP 中輸入的重新導向 URI
| 欄位 | 值 |
|---|---|
| 重新導向 URI / 登入重新導向 URI(平台:Web) | https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse——請從 SSO 分頁複製確切的值。 |
要在 CalendarBridge 中輸入的值
| CalendarBridge 欄位 | 在您 IdP 中的取得位置 |
|---|---|
| 探索 URL | 您 IdP 的 OpenID 設定文件,例如 https://<your-idp>/.well-known/openid-configuration。 |
| Client ID | 來自您所建立的應用程式註冊。 |
| Client Secret | 您在應用程式註冊中產生的密鑰。 |
所要求的權限(範圍)及原因
CalendarBridge 只要求識別登入使用者所需的最低限度、標準 OIDC 範圍。它不會透過 SSO 連線要求存取郵件、檔案或日曆資料。
| 範圍 | 要求的原因(業務理由) |
|---|---|
openid | 執行 OpenID Connect 驗證並接收 ID 權杖所需。 |
email | 作為使用者的唯一識別碼,以將其配對到您的 CalendarBridge 組織與已驗證網域。 |
profile | 讀取基本設定檔(名字),以在首次登入時填入使用者的顯示名稱。 |
Microsoft Entra ID——OIDC
-
註冊應用程式
在 Microsoft Entra 管理中心中,前往應用程式註冊 → 新增註冊。
-
新增重新導向 URI
新增一個 Web 平台重新導向 URI,設為 SSO 分頁中所顯示的 CalendarBridge OIDC 重新導向 URI。
-
建立用戶端密鑰
在憑證與密鑰 → 新增用戶端密鑰底下,建立一個密鑰並立即複製其值。
-
複製探索(中繼資料)URL
從概觀 → 端點複製 OpenID Connect 中繼資料文件 URL。將探索 URL、client ID 與 client secret 貼進 CalendarBridge SSO 分頁並儲存。
為您的網域強制執行 SSO
依預設,啟用 SSO 會讓網域上的使用者可以使用它。在設定表單中勾選強制執行 SSO可要求使用它:屆時該已驗證網域上的每位使用者都必須透過您的 IdP 登入,而他們的直接密碼登入將被停用。
以試行使用者進行測試
-
確認設定為「使用中」
儲存後,設定卡片會顯示狀態徽章。等待它顯示為使用中。擱置中徽章表示 CalendarBridge 尚未驗證 IdP 中繼資料;錯誤徽章會就地顯示原因。
-
在您的 IdP 中指派一位試行使用者
將一兩位測試使用者指派給您 IdP 中的 CalendarBridge 應用程式,但目前先讓強制執行維持關閉。
-
透過 SSO 登入
讓試行使用者以貴組織的電子郵件/網域登入 CalendarBridge。他們應被重新導向至您的 IdP,並在登入狀態下返回 CalendarBridge。確認其名稱與電子郵件已正確填入。
-
推行
試行成功後,指派其餘使用者,並在需要時開啟強制執行 SSO。
疑難排解
若設定卡片顯示錯誤狀態,卡片上顯示的訊息會說明具體的失敗原因。常見情況:
| 症狀/訊息 | 可能原因與解決方法 |
|---|---|
| 狀態卡在擱置中或「無法擷取中繼資料」 | 中繼資料 URL 無法連線或傳回非 XML。請驗證該 URL 可在瀏覽器中載入,或改為上傳中繼資料 XML 檔案。 |
| 「無效的簽章」/「憑證」錯誤 | IdP 的簽署憑證已輪替,而所儲存的中繼資料已過期。請使用 IdP 中繼資料 URL(建議)重新儲存,以便自動接收輪替,或重新上傳目前的 XML。 |
| 「Audience」/「Issuer」不相符 | 您 IdP 中的 Entity ID / Audience URI 與 SSO 分頁中的值不完全相符。請從入口網站重新複製。 |
| 使用者可登入,但名稱/電子郵件為空白或遭拒 | email 與 name 屬性對應遺漏或命名錯誤。請重新檢查必要的屬性對應——名稱區分大小寫。 |
| 「AADSTS50105」/使用者未指派(Entra ID) | 該使用者未指派給 Entra ID 中的 CalendarBridge 企業應用程式。請指派該使用者或其群組。 |
| 重新導向/回覆 URL 不相符 | 您 IdP 中的 ACS URL(SAML)或重新導向 URI(OIDC)與 SSO 分頁中的值不相符。請重新複製確切的值。 |
取得協助
若在檢查設定卡片上的錯誤訊息與上方的疑難排解表格後仍無法解決,請聯絡 CalendarBridge 支援。請附上貴組織的網域、協定(SAML/OIDC)、您的身分提供者,以及卡片上所顯示的確切狀態訊息。
- 聯絡 CalendarBridge 支援
- 設定 SCIM 目錄同步(佈建)——在 SSO 啟用後自動化使用者的建立與停用。