設定單一登入(SAML 與 OIDC)

CalendarBridge 讓組織管理員可啟用單一登入,使您的使用者能以他們原本就在其他一切事物上使用的同一個身分提供者登入 CalendarBridge。本指南涵蓋兩種支援的協定、要提供給您身分提供者的確切服務提供者值、屬性對應、測試與疑難排解。

C Chad 更新於 2026 年 6 月 16 日 8 分鐘閱讀

單一登入一覽

單一登入(SSO)讓您的團隊透過貴組織的身分提供者(IdP)向 CalendarBridge 驗證,而不需另設一組 CalendarBridge 密碼。當強制執行 SSO 時,您已驗證網域上的每位使用者都會被重新導向至您的 IdP 登入,且存取權可以集中授予或撤銷。

支援的身分提供者

CalendarBridge 可與任何符合標準的 SAML 2.0 或 OIDC 身分提供者搭配運作。管理組織入口網站為下列各項提供內建的逐步設定指南:

身分提供者SAML 2.0OpenID Connect提供者文件
Microsoft Entra ID(Azure AD) 在 Entra ID 中設定 SSO
Okta 在 Okta 中建立 SAML/OIDC 應用程式
Google Workspace 設定自訂 SAML 應用程式
JumpCloud 使用自訂 SAML 應用程式的 SSO
任何其他 SAML 2.0 / OIDC IdP 使用本文中的通用值。
info
Microsoft Entra ID 圖庫清單 CalendarBridge 支援 SP 發起與 IdP 發起的 SAML 2.0,並會驗證 SAML 判斷提示的簽署憑證、有效期間、簽發者與目標對象。對於建議的 Entra ID 設定,請將 CalendarBridge 指向應用程式同盟中繼資料 URL,如此便會自動處理憑證輪替。

授權

SSO 與 SCIM 佈建已包含在 CalendarBridge 群組(組織)訂閱中。CalendarBridge 不會為啟用 SSO 另外收取附加費用。請注意,某些身分提供者會將其佈建/SCIM 功能限定於特定版本——例如,Google Workspace 自動佈建需要 Enterprise Standard、Enterprise Plus 或 Education Plus。Microsoft Entra ID 自動使用者佈建需要您租用戶中具備 Microsoft Entra ID P1 或 P2 授權。

誰可以設定 SSO(角色型存取)

只有 CalendarBridge 組織管理員才能檢視或變更 SSO 與 SCIM 設定。一般成員永遠不會看到這些控制項。若要管理 SSO,您必須:

lightbulb
保留一個緊急備援管理員 當您強制執行 SSO 時,請確保若 IdP 無法使用時,至少仍有一位組織管理員可以存取帳戶。CalendarBridge 管理員保有一條略過路徑,因此您在 IdP 中斷期間絕不會被鎖在外面。

開啟單一登入分頁

The Single Sign-On tab
  1. 開啟管理組織入口網站

    從您的 CalendarBridge 儀表板點選管理您的組織,或直接前往 calendarbridge.com/dashboard/organization

  2. 選擇單一登入分頁

    選擇單一登入分頁。若您尚未設定 SSO,您會看到一個設定 SSO按鈕。

  3. 點選設定 SSO

    選擇您的協定(SAMLOIDC),指定此設定所適用的已驗證網域,並選擇您的身分提供者,以顯示內嵌、依提供者而定的設定指南。

設定 SAML 2.0

Configure SAML SSO

SAML 設定是一種雙向交換:您將 CalendarBridge 的服務提供者(SP)值提供給您的 IdP,而您也把 IdP 的中繼資料回傳給 CalendarBridge。

要在您 IdP 中輸入的服務提供者值

這些是您在建立 CalendarBridge 應用程式時貼進身分提供者的值。針對您帳戶、可直接複製的確切值會顯示在單一登入分頁中,並附有複製按鈕——請務必從入口網站複製,而不要手動鍵入。

欄位(標籤依 IdP 而異)
Entity ID / Audience URI / SP Entity ID urn:amazon:cognito:sp:<your-pool-id>——請從 SSO 分頁複製確切的值。
ACS URL / Reply URL / Single sign-on URL https://<your-CalendarBridge-auth-domain>/saml2/idpresponse——請從 SSO 分頁複製確切的值。
Name ID 格式 EmailAddress(持久性電子郵件)
繫結 判斷提示使用 HTTP-POST;請求使用 HTTP-Redirect。

必要的屬性對應

在您的 IdP 中對應這些宣告。請完全依所示輸入 App 屬性名稱——這些名稱在入口網站中也會附有複製按鈕列出。

App 屬性(請完全照輸入)對應來源(在您的 IdP 中)
email主要電子郵件 / Email / user.mail
name名字 / given name / user.givenname

Microsoft Entra ID(Azure AD)——SAML

  1. 建立應用程式

    Microsoft Entra 管理中心中,前往企業應用程式 → 新增應用程式 → 建立您自己的應用程式 →「整合您在圖庫中找不到的任何其他應用程式」。

  2. 開啟單一登入 → SAML

    基本 SAML 設定中,輸入:

    • 識別碼(Entity ID):來自 CalendarBridge SSO 分頁的 Entity ID。
    • 回覆 URL(ACS):來自 CalendarBridge SSO 分頁的 ACS URL。
  3. 設定屬性與宣告

    從上方的屬性對應新增 emailname 宣告,並將 Name ID 設為使用者的電子郵件。

  4. 複製應用程式同盟中繼資料 URL

    SAML 簽署憑證底下,複製應用程式同盟中繼資料 URL(它以 /federationmetadata/2007-06/federationmetadata.xml 結尾)。使用此 URL——而非上傳靜態 XML 檔案——可讓 CalendarBridge 自動接收憑證輪替。

  5. 指派使用者,然後在 CalendarBridge 中完成

    指派應具備存取權的使用者或群組,然後返回 CalendarBridge SSO 分頁,貼上中繼資料 URL 並儲存。

Okta、Google Workspace、JumpCloud 及其他——SAML

每個 IdP 的流程都相同:建立一個自訂 SAML 應用程式、貼上服務提供者值、新增屬性對應,然後把 IdP 中繼資料提供給 CalendarBridge。當您選擇該提供者時,入口網站會顯示 Okta、Google Workspace 與 JumpCloud 的精確選單路徑。您可以在 CalendarBridge SSO 分頁中以兩種方式提供 IdP 中繼資料:

設定 OpenID Connect(OIDC)

Configure OIDC SSO

對於您偏好以 OIDC/OAuth 2.0 連接的 IdP,CalendarBridge 使用授權碼流程。您會在 IdP 中建立一個 Web 應用程式,並提供 CalendarBridge 三個值。

要在您 IdP 中輸入的重新導向 URI

欄位
重新導向 URI / 登入重新導向 URI(平台:Web)https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse——請從 SSO 分頁複製確切的值。

要在 CalendarBridge 中輸入的值

CalendarBridge 欄位在您 IdP 中的取得位置
探索 URL您 IdP 的 OpenID 設定文件,例如 https://<your-idp>/.well-known/openid-configuration
Client ID來自您所建立的應用程式註冊。
Client Secret您在應用程式註冊中產生的密鑰。

所要求的權限(範圍)及原因

CalendarBridge 只要求識別登入使用者所需的最低限度、標準 OIDC 範圍。它不會透過 SSO 連線要求存取郵件、檔案或日曆資料。

範圍要求的原因(業務理由)
openid執行 OpenID Connect 驗證並接收 ID 權杖所需。
email作為使用者的唯一識別碼,以將其配對到您的 CalendarBridge 組織與已驗證網域。
profile讀取基本設定檔(名字),以在首次登入時填入使用者的顯示名稱。
info
最小權限同意 這些是委派的、僅供登入使用的範圍。管理員(或依貴租用戶的同意政策由使用者本人)會在首次登入時同意一次。CalendarBridge 在 SSO 中不要求任何應用程式權限,也不要求任何 Microsoft Graph 郵件/日曆權限。

Microsoft Entra ID——OIDC

  1. 註冊應用程式

    在 Microsoft Entra 管理中心中,前往應用程式註冊 → 新增註冊

  2. 新增重新導向 URI

    新增一個 Web 平台重新導向 URI,設為 SSO 分頁中所顯示的 CalendarBridge OIDC 重新導向 URI。

  3. 建立用戶端密鑰

    憑證與密鑰 → 新增用戶端密鑰底下,建立一個密鑰並立即複製其值。

  4. 複製探索(中繼資料)URL

    概觀 → 端點複製 OpenID Connect 中繼資料文件 URL。將探索 URL、client ID 與 client secret 貼進 CalendarBridge SSO 分頁並儲存。

為您的網域強制執行 SSO

依預設,啟用 SSO 會讓網域上的使用者可以使用它。在設定表單中勾選強制執行 SSO要求使用它:屆時該已驗證網域上的每位使用者都必須透過您的 IdP 登入,而他們的直接密碼登入將被停用。

warning
強制執行前先測試 在啟用強制執行之前,先確認一位試行使用者能透過 SSO 登入(下一節),以免因中繼資料或屬性對應錯誤而把使用者鎖在外面。CalendarBridge 管理員保有一條供緊急備援存取的略過路徑。

以試行使用者進行測試

  1. 確認設定為「使用中」

    儲存後,設定卡片會顯示狀態徽章。等待它顯示為使用中擱置中徽章表示 CalendarBridge 尚未驗證 IdP 中繼資料;錯誤徽章會就地顯示原因。

  2. 在您的 IdP 中指派一位試行使用者

    將一兩位測試使用者指派給您 IdP 中的 CalendarBridge 應用程式,但目前先讓強制執行維持關閉

  3. 透過 SSO 登入

    讓試行使用者以貴組織的電子郵件/網域登入 CalendarBridge。他們應被重新導向至您的 IdP,並在登入狀態下返回 CalendarBridge。確認其名稱與電子郵件已正確填入。

  4. 推行

    試行成功後,指派其餘使用者,並在需要時開啟強制執行 SSO

疑難排解

若設定卡片顯示錯誤狀態,卡片上顯示的訊息會說明具體的失敗原因。常見情況:

症狀/訊息可能原因與解決方法
狀態卡在擱置中或「無法擷取中繼資料」 中繼資料 URL 無法連線或傳回非 XML。請驗證該 URL 可在瀏覽器中載入,或改為上傳中繼資料 XML 檔案。
「無效的簽章」/「憑證」錯誤 IdP 的簽署憑證已輪替,而所儲存的中繼資料已過期。請使用 IdP 中繼資料 URL(建議)重新儲存,以便自動接收輪替,或重新上傳目前的 XML。
「Audience」/「Issuer」不相符 您 IdP 中的 Entity ID / Audience URI 與 SSO 分頁中的值不完全相符。請從入口網站重新複製。
使用者可登入,但名稱/電子郵件為空白或遭拒 emailname 屬性對應遺漏或命名錯誤。請重新檢查必要的屬性對應——名稱區分大小寫。
「AADSTS50105」/使用者未指派(Entra ID) 該使用者未指派給 Entra ID 中的 CalendarBridge 企業應用程式。請指派該使用者或其群組。
重新導向/回覆 URL 不相符 您 IdP 中的 ACS URL(SAML)或重新導向 URI(OIDC)與 SSO 分頁中的值不相符。請重新複製確切的值。

取得協助

若在檢查設定卡片上的錯誤訊息與上方的疑難排解表格後仍無法解決,請聯絡 CalendarBridge 支援。請附上貴組織的網域、協定(SAML/OIDC)、您的身分提供者,以及卡片上所顯示的確切狀態訊息。