单点登录操作手册

用户拥有自己公司的 Microsoft Azure 账号
已成功登录 Azure 并进入 “企业应用程序” 页面

点击 “创建你自己的应用程序”
给应用程序命名（可参考示意图）

选择 “设置 SAML 单一登录” 作为登录方式

仅 团队 Owner 或 超级团队管理员 有权限查看并配置 SSO 页面

1. 启用SSO

● SSO 默认禁用

2. 配置项说明

身份提供商（IdP）

当前 仅支持 Microsoft Entra

SSO 协议

当前 仅支持 SAML 协议

登录方式选项

用户登录方式有两种选择:

单点登录（SSO） & 账号密码登录（默认）
– 用户可以通过单点登录或账号密码任意一种方式登录
仅限单点登录（SSO）
– 用户只能通过单点登录方式登录，账号密码登录将被禁用

添加域名

填写公司邮箱的域名后缀 (e.g., @yourcompany.com)
可以添加多个域名

服务商（SP）信息配置

推荐方式：
- 在 D5 团队管理后台下载 SP 配置的 XML 文件
- 在 Azure 后台打开 SSO 控件程序，进入“设置单一登录”
- 点击 “上传元数据文件”，导入下载的 XML 文件
手动方式:
- 在 Azure 后台“基本 SAML 配置”中手动填写信息:
  - 将 D5 后台提供的 标识符（实体 ID） 填入对应输入框
  - 将 断言使用者服务 URL（Assertion Consumer Service URL） 也复制粘贴至对应位置
- 点击“保存”配置

身份提供商（IdP）信息配置

在 Azure 后台的 SSO 控件程序中，进入“设置单一登录”界面
找到 SAML 证书 区域，下载 “联合元数据 XML”
将该 XML 文件上传至 D5 团队管理后台
系统将自动解析，并填入 IdP 登录 URL

进入 D5 团队管理后台，启用自动预配，获取相关配置项（如访问令牌）

进入企业应用程序 > SSO 控制模块 > 预配

点击“新增配置”

输入从 D5 团队管理后台获取的 SCIM端点和访问令牌（Access Token），点击测试连接，提示测试成功后，点击"创建"

点击 “设置”，打开预配开关，点击保存

如果日后访问令牌发生更改：

打开 预配 > 设置 > 管理员凭据（Admin Credentials）

将 预配状态& 设置为 “开启（On）”

点击 “保存”

最后 启用预配，以实现用户账号同步

点击映射，选择“Provision Microsoft Entra ID Users”

进入属性映射页后，点击添加新映射

配置新映射，步骤如下，配置完成后点击保存

映射类型选择表达式

表达式填写 SingleAppRoleAssignment([appRoleAssignments])

目标属性选择 roles[primary eq "True"].value

使用此属性匹配对象选择是

匹配优先级选择填写2

返回属性映射页，点击"保存"

返回概述（预览）页，确认预配是否启动，没启动则点击启动预配

进入 企业应用程序 > SSO 控制模块 > 属性
点击 “应用程序注册（App Registrations）”
进入后，找到并点击 “应用角色（App Roles）”
在此处可根据需要新增角色

如果未配置任何角色，所有同步用户将默认被设为 “团队成员（Team Member）” 角色

当启用 SCIM 后，D5 团队管理后台中的以下功能将被禁用：
- 手动编辑团队成员角色
- 修改成员账号属性
- 邀请用户加入团队
- 将成员从团队中移除

在分组管理中，以下选项也将被隐藏:
- 邀请加入团队
- 从团队中移除

同步频率
- 系统每 40 分钟 自动同步一次账号信息
- 查看同步结果：
  - 在 Azure 后台中点击同步日志（Sync Logs）
  - 可查看 每一步的同步过程 以及 失败原因

示例场景

在 IdP（身份提供商）中新添加一位用户（该用户从未在 D5 注册）
等待同步周期完成后，该用户将自动出现在团队中

团队席位数已满的情况下同步D5已有账号，同步失败，账号不会被加入到团队

同步过程中，D5后台在发布，此时会同步失败，账号不会被创建也不会被拉入团队，等到下一次重新同步

2025-05-21

© 2025 D5渲染器帮助中心版权所有苏ICP备16020397号-7