我想知道基于 SAML 的单点登录中是否有规定,其中我可以使用 IdP 提供的令牌进行身份验证,然后在验证授权后,即用户拥有的角色/特权必须在应用程序端处理。这完全是从Azure Active Directory的角度来看的。
基于 SAML 的单点登录中的规定
如果用户存在于您的 IdP 中但不在您的实例中,SAML 用户预置可以在实例的用户 [sys_user] 表中自动创建用户。
在以下情况下,SAML 2.0 更新 1 支持 SAML 用户预配 已启用多 SSO。
SAML 用户预配的工作原理
启用 SAML 用户预配并且系统遇到不在实例中的新用户时,实例会自动在临时表中创建名为 u_import_saml_user_ 的记录,其中自动生成的文本标识符。系统还会创建转换映射,用于指定导入表和用户表之间的数据关系。系统中标识的每个 IdP 都有自己的转换映射。为每个 IdP 创建一次转换映射。管理员可以根据需要对其进行更新。
当用户登录时,他们将访问 IdP 进行登录。
系统会显示能够使用 SAML 的所有 IdP 的列表 用户预配。如果只有一个 IdP 可以使用 SAML 用户 预配,则会自动使用该预配。
如果上述条件均不成立,系统将使用 默认身份提供商。
管理 SAML 用户预配
要使用 IdP中的用户更新用户表,您必须首先设置字段映射,然后通过多 SSO IdP 设置启用用户配置
角色/特权
有关角色权限和用户管理,您可以参考此处
预配的一些好处
实施实时预配可以为组织提供以下优势。
降低管理成本:通过 SAML 进行配置允许客户按需创建帐户,作为单点登录过程的一部分。通过将预配和单一登录过程合并到单个消息中,这极大地简化了需要动态预配用户的方案所需的集成工作。
提高用户采用率:用户只需记住一个密码即可访问 是他们的主网站和Salesforce。用户更有可能定期使用您的 Salesforce 应用程序。
提高安全性:您为公司网络建立的任何密码策略也对 Salesforce 有效。此外,发送仅对一次性使用有效的身份验证凭据可以提高有权访问敏感数据的用户的安全性。
要了解更多的想法,您也可以看看这里
一些关键资源供您参考
将 Azure AD 配置为 SAML IdP
萨姆利指南线
SAML 如何工作?国内流离失所者和特殊国家
SAML 条款及其用途
希望它能指导您有关 SAML 实施的方式。谢谢。