Trimble ID 联合身份是否涉及费用?
Trimble Identity 联合身份是为 Trimble ID 客户提供的免费附加服务,使用 Trimble ID 的客户可以请求加入联合身份。
配置联合身份是怎样的过程?
配置联合身份的过程是您的身份提供者以及您组织使用的协议(SAML或OIDC)决定的。
引导式联合身份是为所有受支持的身份提供者和协议组合进行配置(但不包括使用 OIDC 的 Microsoft Entra ID,这是多租户模式)。引导式联合身份有两种处理过程,具体取决于您组织所使用的协议。
SAML引导式联合身份:
OIDC引导式联合身份:
此处理过程的预计期限是多长?
- 您组织的准备情况
- 您团队向Trimble联合身份团队Trimble提供信息(元数据及其它必要设置信息)的响应速度
- 联合身份团队当前的工作负荷
当前支持哪些联合身份提供者(IdP)?
Trimble ID 支持 Open ID Connect(OIDC)和 SAML 协议。它们是大多数 IdP 支持的标准协议,例如:Microsoft Entra ID、Microsoft AD FS、Google 和 Okta。
这些协议的主要区别在于:SAML使用基于XML的联合身份,而OIDC使用JSON。
关于 Trimble ID 联合身份有哪些可用的资源?
请首先访问 Trimble 帮助中心(help.trimble.com),查找有关 Trimble ID 联合身份的信息。
您一经开始与 Trimble ID 联合身份团队接洽,请使用他们提供的邮箱地址进行后续沟通。
已建立联合身份的用户可以更改其MFA设置吗?
这是由IdP的设置决定的。
如果用户通过联合身份提供者登录时遇到问题,应向哪里寻求支持?
有关登录问题,请联系您组织的IdP管理员。
在配置外部联合身份系统以实现OIDC联合身份时,应当使用什么回复URL/重定向URI?
Trimble 没有通用的重定向端点。
当 Trimble ID 联合身份团队完成您组织的联合身份配置后,我们的客户支持团队将提供一个专属的重定向端点。该端点需要在您这端进行配置。
应用程序如何识别用户是使用其本地 Trimble ID 账户登录还是作为联合身份用户登录?
身份访问令牌和ID令牌中都包含一个AMR声明,该声明指示用户是否通过联合身份来源进行登录。
此外,ID令牌包含一个名为“federation_origin”的声明,意味着使用了联合身份来源。客户端应用程序可以参考令牌中的上述声明来确定登录来源。
是否有办法移除所有通过联合身份预配置的账户?我们是否必须删除关联的账户?
- 删除给予联合身份域中的所有账户
- 将所有账户转换为本地 Trimble 账户。在此情况下,每位用户需要通过正常的身份登录流程设置密码。
当使用SAML时,我收到这样的消息:“错误!SAML身份调用发生错误,原因:未找到请求签名证书。”
当前,Trimble ID SAML实现要求所提供的元数据中必须包含签名证书。
您的服务提供者应有一个名为“启用签名请求”的配置选项。请启用此配置的设置。
从那里重新下载服务提供者(SP)的元数据。新的元数据将包含所需的证书,您可以再次尝试。
为什么公司管理员不能为公司内部所有 Trimble Identity 用户选择数据驻留设置?我们不想要由个人用户自行选择这些内容。
- 如果不是联合身份,则用户将会控制数据。该用户可能属于多个账户/公司,而各方可能对数据设置有不同的或互相冲突的需求,因此用户可以根据需要自行设置所需数据的区域。
- 如果用户具有联合身份,则其身份提供者(IdP)将会控制数据。在通过联合身份情境下,公司将决定其用户与哪个区域进行关联。注: 一家公司的联合身份只能与一个区域有关联。