什么是SAML单点登录?
SAML代表安全声明标记语言。这是一种让您的WordPress站点与其他服务(如Google和Office 365)通信的安全方式。
与之对比的是,SSO代表单点登录。这意味着用户可以用一个密码登录多个服务。
借助SAML SSO,用户可以使用这些服务中的现有凭据登录您的站点。这意味着不再需要记住额外的用户名和密码——只用一个登录就可以访问所有服务。
这对于使用很多不同在线平台的组织和企业特别有用。例如,在WPressize Me,我们使用SSO让我们的团队成员只需一次登录就能轻松访问他们的工具。
有了这些基础知识,让我们来看一下如何轻松地在WordPress中设置SAML SSO。您可以使用这些快速链接在教程中导航:
步骤1:安装miniOrange SAML Single Sign On插件
在您的WordPress网站上启用SAML SSO的最简单方法是使用miniOrange SAML Single Sign On插件。它是免费的,可以让您将站点连接到各种身份提供商(如Google Apps、Okta、OneLogin、Salesforce、Azure B2C、Keycloak、ADFS、Shibboleth 2、Auth0和Sharepoint)。
此外,该插件允许用户使用单一点登录访问多个站点和应用程序。也就是说,您可以在团队应该能够访问的其他站点上重复下面的相同步骤。
如果您运行的是WordPress多站点网络,只需要在主网络站点上执行一次这些步骤,SSO将在所有站点上自动生效。
首先,您需要安装插件。如果您是WordPress插件的新手,我们有一份便捷的指南,逐步指导您安装WordPress插件。
插件安装完成后,前往您的WordPress仪表盘并导航到miniOrange SAML 2.0 SSO »插件配置。
然后,切换到“服务提供者元数据”选项卡。保持此页面开启,因为我们将在下一步中需要此处的信息。
步骤2:将您的站点与身份提供商连接
现在插件已经在WordPress中安装,下一步是将您的网站与一个SAML身份提供商(SAML IdP)连接。
SAML IdP是管理用户账户并认证用户的服务。可以将其看作是一个中心枢纽,用户一次登录,便可以访问各种应用程序,包括您的WordPress站点。
在这个示例中,我们将使用Google Apps作为我们的SAML IdP。然而,要使用Google Apps作为SAML IdP,您需要一个Google管理员账户,这不同于您的普通Gmail账户。一个Google管理员账户管理组织的Google Workspace的用户和设置,并且通常不以@gmail.com结尾。
首先,前往Google管理控制台页面。在侧边栏菜单中,导航到“应用”部分并点击“Web和移动应用”。
从这里打开“添加应用”下拉菜单。然后,选择“添加自定义SAML应用”。
现在,给您的自定义SAML应用命名(例如“miniOrange Custom SAML”)并简要描述(例如“一个用于WordPress的SAML SSO应用”)。满意后点击“继续”。
在这里,您会看到两个配置WordPress SSO的选项。我们将选择较为简单的方法(选项1),即下载IdP元数据。这种方法更快,因为您无需手动输入您的IdP元数据并且稍后复制粘贴您的x509证书。
点击“下载元数据”开始。然后,向下滚动到底部,点击“继续”。
在下一页,您会看到用于服务提供商详细信息的表单。对于我们而言,这是我们的WordPress网站,由miniOrange插件提供帮助。
现在,切换回您的WordPress仪表盘,在您打开的miniOrange插件页面的“服务提供者元数据”选项卡上滚动查找您的服务提供者信息(ACS URL和实体ID)。保持此页面开启,因为您需要在此页面和Google管理控制台之间切换。
现在,返回Google管理控制台并将这些信息复制粘贴到对应的字段中。确保还勾选“签名响应”框。
往下移动,选择“EMAIL”作为名称ID格式,并选择“基本信息>主邮箱”作为名称ID。然后点击“继续”。
下一步包括添加用户字段并在Google目录和您的WordPress站点miniOrange插件之间进行映射。这本质上就是说从Google账户中选择哪些信息传输到您的WordPress站点。
点击“添加映射”开始。然后,让我们添加Google中的“名字”字段并将其映射到“firstname”属性。
完成所需字段的映射后,向下滚动并点击“完成”。
您现在将进入Google管理控制台中的自定义SAML应用页面。最后一步是为您的用户激活该应用。所以继续点击“为所有人关闭”。然后将其切换为“为所有人开启”,最后点击“保存”以完成配置。
步骤3:配置WordPress SAML SSO设置
让我们回到您的WordPress管理区域中的miniOrange SSO插件页面。现在,切换到“服务提供者设置”选项卡并选择“Google Apps”。
向下滚动并导航到“上传IDP元数据”选项卡。在这里,您需要输入身份提供者名称(可能是类似“GoogleApps”的名称)并上传此前从Google管理控制台下载的XML文件。填写完所有内容后,点击“上传”。
恭喜!您已成功将您的WordPress博客与您的Google Apps SAML IdP连接。现在,让我们配置一些额外的设置。
首先,切换到“属性/角色映射”选项卡。在这里,您可以定义来自Google Apps的用户信息如何映射到WordPress中的用户账户。
向下滚动到“角色映射”部分,然后选择您希望分配给使用SAML SSO登录的新用户的默认用户角色。在这个示例中,我们选择了“编辑”。做出选择后点击“更新”。
接下来,切换到“重定向和SSO链接”选项卡。在这里,您可以在WordPress登录页面添加一个方便的单点登录按钮以方便用户使用。确保选项标题为“在WordPress登录页面添加单点登录按钮”已启用。
这个小改动将在您的WordPress登录界面添加一个“使用[身份提供者名称]登录”按钮,使用户能够更轻松地使用其现有的Google Apps凭据进行登录。以下是我们的示例:
WordPress SAML单点登录:常见问题
我们已经介绍了配置WordPress SAML SSO的步骤,但您可能仍有一些问题。让我们来看看一些常见问题:
SAML和SSO是一样的吗?
不,SAML和SSO不一样。SAML(安全声明标记语言)是一种特定的协议,用于实现SSO。除了使用SAML之外,还有其他方法可以实现SSO。然而,SAML是一种流行且安全的选择,可以在各种应用程序中实现SSO,包括WordPress。
什么是SAML SSO和使用插件的一键登录的区别?
是的,有些WordPress登录插件提供一键功能,这是一种较于SAML SSO更简单的选择。关键区别在于它们的工作原理。SAML SSO需要在您的Google管理控制台中创建自定义应用程序以进行安全通信。这需要更多配置,但提供了更高的安全性和集中的用户管理。
另一方面,一键登录插件使用现有的协议(如OAuth)与Google等服务连接。您不需要Google管理员权限,但可能无法提供与SAML SSO相同级别的安全性。
SSO和社交登录是一样的吗?
社交登录是一种允许用户使用其现有社交媒体凭据(如Facebook)登录您的WordPress网站的SSO类型。而SAML SSO则是一种更安全和灵活的选项,可以与更广泛的身份提供商一起使用,不仅限于社交媒体平台。
有关向您的WordPress站点添加社交登录选项的更多信息,您可以参考我们的指南。
WordPress安全提示以使登录更安全
虽然SAML SSO登录已经相当安全,但这里还有一些额外的提示,您可以实施以进一步加强您的WordPress安全性:
为您的WordPress用户强制使用强密码。
启用两因素认证(2FA)以增加额外的保护层。
限制登录尝试次数以防止暴力破解攻击。
通过监控登录日志留意可疑的登录尝试。
通过IP地址限制访问您的WordPress管理区域。
定期备份您的WordPress站点以防发生任何安全漏洞。
保持您的WordPress核心、插件和主题更新以解决任何安全漏洞。
强制所有用户注销并要求他们不定期更改密码。
我们希望这篇文章帮助您了解如何在WordPress中设置SAML SSO。您可能还想查看我们的指南,了解如何为您的网站获取免费SSL证书以及我们专家挑选的必须有的WordPress插件以帮助您的网站成长。
