我是否可以在一个身份供应商下为多个订阅的账户设置 SSO?
可以。如果贵公司购买了不同的 DeepL 订阅,可以在同一身份供应商下为这些订阅的所有(以及潜在)团队成员启用 SSO 登录。
对于拥有多个子公司或隶属于同一公司但各自拥有 DeepL 订阅的其他实体的公司来说,这非常有利。
为启用此选项,我们使用了 Microsoft Azure Active Directory(AAD)多断言消费者服务(multi-ACS)功能。
请注意:由于其他身份供应商尚不支持 multi-ACS,因此建议的流程目前仅支持 Microsoft Azure Active Directory(P1、P2 或更高)。
此外,该流程目前只适用于 SAML 2.0 身份验证协议。
1) 域名
在开始 SSO 设置之前,请确保您已经订阅了 DeepL。
要为团队设置 SSO 登录,需要为每个订阅定义一个域名。
请执行以下操作:
- 联系您的销售经理申请域名
- 等待域名批准
有关如何设置域名以及审批流程各阶段的更多信息,请参考此文。
如果您已经为所有订阅批准了域名,则可以立即开始第 2 步。
2) 在身份供应商中设置应用程序
接下来,在 AAD 中,您需要用多个 ACS URL 配置一个 DeepL SAML 应用程序,其中每个 URL 对应一个 DeepL 订阅。
您可以在此处下载深入的分步指南,包括 Microsoft Azure Active Directory (AAD) 的故障排除说明。
目前,DeepL 不支持由 IdP(身份供应商)启动的 SSO 登录。
3) 测试配置
完成上一步后,您就可以测试服务供应商启动的登录。
如果还没有为其中一个订阅设置 SSO,首先需要完成本文所述的步骤 2。
要以团队成员(而不是团队管理员)身份测试服务供应商启动的登录,可以在以下选项中进行选择:
- 访问 deepl.com> 登录 > 继续单点登录(SSO)> 输入公司 SSO 域名。
结果:您的 DeepL 用户将在您输入 SSO 域的相应 DeepL 订阅中创建。 - 使用 SSO 域名(company.sso.deepl.com)
请注意,如果您还没有为您的团队设置 SSO,您的团队暂时还不应该通过 SSO 登录,仍需使用标准登录方式,即使用电子邮件地址和密码登录。
如果已通过 SSO 登录,则可以继续为尚未完成 SSO 登录配置的组织激活 SSO。您可以在本文步骤 4 中了解有关 SAML 的 SSO 激活的更多信息。