配置

设置单点登录 (SSO)

以 Markdown 格式查看
企业功能

此功能仅适用于企业计划。如需开始使用,请联系 support@buildwithfern.com

设置单点登录 (SSO) 以使用您现有的身份提供商登录 Fern。

SSO 设置需要与 Fern 合作交换配置值(如回调 URL 和实体 ID)。开始使用前,请在下方选择您的身份提供商(Okta、Google Workspace 或 Microsoft Entra),然后选择 SAML 或 OIDC。

使用其他提供商?

如果您使用其他身份提供商,Fern 将帮助您配置。请通过 Slack 或 support@buildwithfern.com 联系我们开始设置。

1

从 Fern 接收配置值

Fern 将通过安全渠道向您发送 SSO URL 和 Audience URI。

2

在 Okta 中创建和配置应用程序

Applications 中,使用 SAML 2.0 创建新的应用集成。使用以下值进行配置:

字段
Single sign-on URL[来自 Fern 的值]
Audience URI[来自 Fern 的值]
Name ID formatEmailAddress

然后,添加属性声明:

名称
nameuser.firstName + " " + user.lastName
emailuser.email
3

向 Fern 发送您的身份提供商元数据

Sign-On 选项卡中,复制元数据 URL 和 X.509 证书。将它们发送回 Fern。Fern 将启用连接并与您一起运行测试登录。

4

禁用身份提供商发起的登录

General 选项卡的 App visibility 下,启用 Do not display application icon to users。这可以防止身份提供商发起的登录流程,该流程存在安全风险。

5

分配用户

分配应访问 Fern 的人员。

1

从 Fern 接收配置值

Fern 将通过安全渠道向您发送 ACS URL 和实体 ID。

2

在 Google 中创建和配置应用程序

Web and mobile apps 中,选择 Add app → Add custom SAML app。在 Service provider details 中,输入以下值:

字段
ACS URL[来自 Fern 的值]
Entity ID[来自 Fern 的值]
Name ID formatEMAIL
Name IDPrimary email

然后,添加属性声明:

Google Directory AttributeApp Attribute
First namefirstName
Last namelastName
3

向 Fern 发送您的身份提供商元数据

从 Google 复制 SSO URL、实体 ID 和 X.509 证书。将它们发送给 Fern。Fern 将启用连接并与您一起运行测试登录。

4

分配用户

分配应访问 Fern 的人员。

1

创建应用程序

Enterprise applications 下,选择 New application → Create your own application → Non-gallery

2

从 Fern 接收配置值

Fern 将通过安全渠道向您发送标识符(实体 ID)和回复 URL (ACS)。

3

配置 SAML

Single Sign-On 中,选择 SAML 并输入以下值:

字段
Identifier (Entity ID)[来自 Fern 的值]
Reply URL (ACS)[来自 Fern 的值]
Name IDuser.primaryauthoritativeemail (email)

然后,添加属性声明:

名称
nameuser.displayname
emailuser.mail
4

向 Fern 发送您的身份提供商元数据

SAML Certificates 中,复制 App Federation Metadata URL。将其发送给 Fern。Fern 将启用连接并与您一起运行测试登录。

5

禁用身份提供商发起的登录

为了防止身份提供商发起的登录流程(存在安全风险),请不要分发用户访问 URL。

可选地,创建条件访问策略以阻止非来自服务提供商的登录。

6

分配用户

Users and groups 中,添加应访问 Fern 的人员。