Explore how adaptive content transforms your docs into a dynamic, tailored experience for every user.
Read the docs
PricingLog inSign up

SSO 与 SAML

了解如何通过 SSO 与 SAML 共享您的 GitBook 内容。

对于较小的团队或希望获得大量控制权的人来说,手动管理组织成员是可以的,但有时你需要以更自动化的方式开放访问。GitBook 允许你通过几种方式进行配置:通过基本的电子邮件域 SSO,或更复杂的 SAML 集成。

通过电子邮件域进行单点登录

当你创建或管理组织时,可以添加一列你希望允许访问该 GitBook 组织的电子邮件域。这意味着任何具有与已配置 SSO 域匹配并已验证的电子邮件地址的人都将被允许加入你的组织。

你可以在组织设置的“SSO”部分启用电子邮件域 SSO;输入以逗号分隔的你希望允许 SSO 访问的电子邮件域列表,然后即可开始使用。

A GitBook screenshot showing how to configure SSO
为你的组织设置 SSO。

通过 SSO 电子邮件域加入的任何人默认将具有来宾访问权限,你可以随时在组织设置的成员部分更改他们的角色。

基于 SAML 的单点登录 (SSO)允许成员通过你选择的身份提供者(IdP)访问 GitBook。

GitBook 可以轻松与你现有的身份提供者(IdP)集成,这样你就可以使用与其他服务提供者相同的凭据和登录体验,为员工提供对 GitBook 的单点登录。

通过使用 SSO,员工将能够使用熟悉的身份提供者界面登录 GitBook,而不是 GitBook 的登录页面。然后员工的浏览器会将他们转发到 GitBook。当启用 SSO 并停用 GitBook 自有的登录机制时,IdP 会授予对 GitBook 的访问。通过这种方式,身份验证的安全性由你的 IdP 负责,并与其他服务提供者协调。

与 GitBook 使用 SSO 的先决条件

  • 你公司的身份提供者(IdP)必须支持 SAML 2.0 标准。

  • 你必须在 IdP 上具有管理员权限。

  • 你必须是要在其上设置 SAML 的 GitBook 组织的管理员。

在 GitBook 上的设置

你必须是 组织管理员 才能为你的 GitBook 组织启用 SSO。

在 IdP 上配置 SSO 后,你将能够输入元数据。设置成功后,管理员将看到确认对话框,并且会显示供最终用户使用的 SSO 登录 URL。 GitBook 在设置完成后不会发送通知电子邮件。管理员有责任通知公司员工(并将登录 URL 告知他们),以便他们可以通过 SSO 访问 GitBook。

要注册 SAML 提供者,你需要从 IdP 元数据中获取以下内容:

  • 一项 label – 这可以是任意内容,它会显示在登录页面上

  • 一个 实体 ID

  • 一项 单点登录 URL

  • 一个 X.509 证书 – 确保你复制并粘贴整个证书!

在 IdP 上的设置

大多数兼容 SAML 2.0 的身份提供者在设置时需要关于服务提供者(在本例中为 GitBook)的相同信息。这些值是特定于你的 GitBook 组织的,可在你希望启用 SSO 的 GitBook 组织的 设置 -> SSO 选项卡中找到。

这些值中的大多数可以直接复制到你的 IdP 中以完成 SAML 的配置。

GitBook 要求 NameID 包含用户的电子邮件地址。技术上我们正在寻找: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 作为 Name-ID 格式——许多提供者(例如 Google)将允许你设置诸如 EMAIL.

自定义属性

GitBook 将从 SAML 断言响应中提取以下自定义属性,并在创建用户时使用它们。

字段
描述

first_name

first_name 并且 last_name 字段将组合以生成用户在 GitBook 中的显示名称

last_name

first_name 并且 last_name 字段将组合以生成用户在 GitBook 中的显示名称

创建终端用户帐户

要添加成员,请在你的 IdP 中为他们创建帐户。新成员第一次通过 IdP 登录 GitBook 时,GitBook 会通过自动 IdP 供应为他们创建 GitBook 帐户。该用户将作为组织成员访问组织资源。

设置要求电子邮件地址为小写。不要使用大小写混合的电子邮件地址。

删除帐户

从 IdP 删除成员将阻止该用户登录到相应的 GitBook 帐户, 但不会从 GitBook 中删除该帐户。我们建议也从 GitBook 组织中删除该帐户。

控制访问

一旦你设置了 SAML SSO,控制谁可以访问你的 GitBook 帐户的责任就由 IdP 承担。

安全通知

如果你在身份提供者返回的相同电子邮件地址下已有现有的 GitBook 帐户,并且你不是要登录的组织的成员,出于安全原因我们将无法通过 SAML 配置自动将你添加到该组织。你有两个选择:

  1. 删除你现有的 GitBook 帐户,然后使用 SAML 登录到你想要的组织。GitBook 将为你创建一个新帐户,并将你添加到该组织

  2. 或者,请你的管理员邀请你加入该组织:

如果你的组织没有启用“强制 SSO”,组织的管理员可以通过组织设置中的成员页面邀请用户。

如果你的组织已启用“强制 SSO”,管理员将不得不使用 GitBook 的 邀请 API 端点来邀请用户加入组织。对该 API 的调用示例如下;

curl --request POST --header "Authorization: Bearer <your_access_token>" --url "https://api.gitbook.com/v1/orgs/<org_id>/invites" --header 'Content-Type: application/json' --data-raw '{ "sso": true, "role": "<role>", "emails":["<email>"] }'

最后更新于

这有帮助吗?