單一登入(SSO)
單一登入(Single Sign-On, SSO)是一種身份驗證機制,讓用戶僅需使用一組帳號密碼即可存取多個受信任的系統與應用程式,無須重複登入。SSO 通常透過「身份提供者(IdP)」與「服務提供者(SP)」之間的協議實現。主要優點包括:
- 減少記憶多組密碼的負擔,提升使用體驗並提高工作效率
- 強化安全性,協助企業集中管理成員身份及存取權限
- 降低 IT 成本,減輕密碼重設與維護的負擔
GPTBots SSO 的基本登入流程為:用戶點擊 GPTBots SSO 登入連結後,系統會將其重定向至內部或外部的 SSO 系統進行身份驗證。驗證成功後,將自動返回 GPTBots 平台並完成登入。
常用術語
| 術語 | 說明 |
|---|---|
| 身份提供者(IdP) | 負責身份驗證的第三方服務。用戶經 IdP 登入後,可存取多個串接的系統,無需重複輸入密碼。 |
| 服務提供者(SP) | 註冊於 IdP 的應用系統,接收 IdP 的驗證結果並為用戶提供特定業務服務。 |
| 安全聲明標記語言(SAML, Security Assertion Markup Language) | 基於 XML 的開放標準協議,用於 IdP 與 SP 間安全傳遞身份驗證與授權資料。平台支援 SAML 2.0。 |
| 登入方式 | 存取系統的驗證方式,包括常規登入與 SSO 登入。 * 常規登入:平台內建帳號驗證(如帳號密碼)、第三方授權(如 Google OAuth、Facebook、Apple、GitHub 等)。 * SSO 登入:透過各種身份提供者(IdP)登入。 |
| 組織類型 | * 常規組織:尚未啟用 SSO 登入的組織,需以常規登入方式存取。 * SSO 組織:已啟用 SSO 登入的組織,僅能以 SSO 登入方式存取。 |
注意事項:
- SSO 服務以電子郵件作為唯一識別,請您確保企業 IdP 設定的電子郵件與 GPTBots 帳戶一致。
- 組織類型與登入方式會直接影響存取權限與操作能力,建議企業管理員依實際需求設定。
- 配置 SSO 前,請先於帳戶層級完成 IdP 協議設定,授權 IdP 至目標組織,並於組織層級啟用 SSO 登入。
用戶存取規則
- 常規組織:僅支援常規登入,適用於所有成員及組織建立者。
- SSO 組織:所有成員必須以 SSO 登入,組織建立者可同時使用常規登入與 SSO 登入。
- SSO 登入綁定:用戶透過 SSO 服務登入時,系統會記錄帳戶與 SSO 服務的綁定,可透過以下方式建立:
- 點擊「邀請加入組織」郵件中的 SSO 連結登入
- 使用特定 SSO 服務的專屬連結登入
- 點擊「組織成功啟用 SSO 服務」通知郵件中的 SSO 連結登入
- 電子郵件比對:SSO 服務以電子郵件作為唯一識別,並自動與平台帳戶比對:
- 一般 SSO 登入頁:若電子郵件不存在,系統將拒絕登入。
- 專屬 SSO 登入連結:若電子郵件不存在,系統會自動建立新帳戶。
- 帳戶建立:常規登入帳戶可建立組織並配置 SSO 服務,SSO 登入帳戶無法建立新組織。
SSO 配置指南
GPTBots 支援與任何基於 SAML 2.0 協議的身份提供者整合,包括 Microsoft Azure、Okta、One Login、Google 等。
在 IdP 中設定 GPTBots
登入 GPTBots,將滑鼠移至左下角頭像,點擊彈出選單中的 「帳戶」。於 「個人中心」 點選 「SSO」 進入 SSO 頁面。
於 SSO 頁面點擊 「配置 SSO」 按鈕。
複製 GPTBots(SP)產生的配置信息,提供給 IdP 管理員,請其於企業 IdP 完成設定。確認設定完成後,勾選確認框並進入下一步。
請使用右側複製按鈕快速複製。
配置信息說明:
- SP 產生資訊:
- Entity ID:SP 在 IdP 的唯一識別
- ACS URL:Assertion Consumer Service 地址,接收 IdP 回傳的 SAML 資訊
- 登入 URL:SSO 登入入口
- 登出 URL:SSO 登出入口
- IdP 回傳資訊:
- X.509 證書(base64):身份提供者憑證(有有效期限,請及時更新)
- 登入 URL:IdP 登入位址
- 登出 URL:IdP 登出位址
- SP 產生資訊:
各 IdP 平台設定指引:
- Microsoft Azure
- Okta
- One Login
輸入 IdP 回傳資訊
將 IdP 提供的 證書、登入 URL、登出 URL 輸入 SP,點擊 下一步。
- 可自訂 SSO 服務名稱以利識別。
授權組織
於 「授權組織」 頁選擇要分配 SSO 服務的組織,點擊 「保存」 套用設定。
- 一個 SSO 服務可授權多個組織,也可為一個組織配置多個 SSO 服務。
- 若出現 「無權限」 或 「授權限制已達」,請聯絡銷售。
設定生效後,組織成員必須以 SSO 登入存取該組織。
驗證 SSO 服務
設定完成後,請用 SSO 登入 URL 測試服務是否正常。
- 請確認測試帳戶已加入 GPTBots SSO 授權組織,並於 IdP 平台獲得 SSO 應用存取權。
SSO 服務列表
SSO 服務列表會顯示所有已設定的 SSO 服務,主要欄位如下:
| 欄位 | 說明 |
|---|---|
| SSO 服務名稱 | 自訂 SSO 服務名稱 |
| 類型 | SSO 協議類型 |
| 登入連結 | SSO 登入入口 |
| 授權組織數量 | 該 SSO 服務目前授權的組織數 |
| 操作 | 支援「編輯」、「授權」、「刪除」 |
點擊列表任一行會自動彈出 「SSO 服務詳情」 對話框。
滑鼠移至 「授權組織」 欄位會顯示詳細授權組織列表。
編輯
點擊 「編輯」 或列表任一行,開啟 SSO 服務詳情側欄,可檢視與編輯詳細 SSO 設定參數。
- 右側按鈕可複製欄位內容。僅支援重新編輯 IdP 設定,其餘欄位為唯讀。
SP 產生資訊
- Entity ID:SP 在 IdP 的唯一識別。
- ACS URL:Assertion Consumer Service 地址,接收 IdP 回傳的 SAML 資料。
- 登入 URL:SSO 登入入口。
- 登出 URL:SSO 登出入口。
IdP 回傳資訊
- X.509 證書(base64):身份提供者憑證,請留意有效期限。
- 登入 URL:IdP 提供的登入位址。
- 登出 URL:IdP 提供的登出位址。
授權組織
點擊 「授權」,開啟授權組織側欄:
- 左側為 可用組織,右側為 已授權組織。
- 僅有 SSO 權限的組織可被授權。若欲授權的組織無 SSO 權限或已達授權上限,請聯絡銷售。
- 授權或取消授權後,相關組織成員會收到通知信,並需重新驗證。
刪除 SSO 服務
點擊 「刪除」 可移除當前 SSO 服務設定。請謹慎操作,刪除後該服務將無法使用,相關組織成員亦無法透過此服務登入。
官網 SSO 頁面登入
開啟 GPTBots 登入頁,點擊 「SSO 登入」 按鈕。
輸入您在 GPTBots 註冊的電子郵件。系統會查詢您最後存取的 SSO 組織,以自動選擇適合的登入方式並重定向。
- 若組織已配置多個 SSO 服務且您的帳戶綁定多個 SSO 服務,系統會提示您選擇登入服務。
- 若僅有一個 SSO 服務,系統會自動導向。
- 若組織已配置多個 SSO 服務且您的帳戶綁定多個 SSO 服務,系統會提示您選擇登入服務。
系統將導向 IdP 登入頁,請輸入帳號密碼進行驗證。成功後會自動返回 GPTBots 完成 SSO 登入。
常見登入失敗情境
帳戶不存在
請確認您輸入的電子郵件是否已註冊於 GPTBots,或曾透過 SSO 連結登入。若尚未註冊,可直接用 SSO 連結登入,系統會自動建立帳戶。
電子郵件不符
若您輸入的電子郵件與 IdP 登入帳號設定的電子郵件不符,系統會顯示錯誤訊息。
請確認 IdP 帳號設定的電子郵件,若有疑問請聯絡管理員協助。組織未啟用 SSO 登入
您所加入或創建的組織尚未啟用 SSO 登入,請聯絡管理員為該組織啟用 SSO 服務。
SSO 專屬連結登入
分享 SSO 登入連結
若您為組織建立者,請登入 GPTBots,至 「個人中心 > SSO」,點選目標組織對應的 SSO 服務,複製登入連結並分享給組織成員。
登入流程
成員點擊 SSO 連結後,系統將導向 IdP 登入頁。
完成 IdP 登入後,系統會將帳號的電子郵件與 GPTBots 帳戶比對。
若成員已獲 SSO 服務授權組織的權限,將自動進入最後存取的 SSO 組織。
若遇下列異常:
- IdP 電子郵件未註冊於 GPTBots,系統會自動建立帳戶並導向個人資料設定頁,顯示:「您的帳戶尚未獲得任何 SSO 組織的授權權限。請聯絡管理員進行授權。」
- 帳戶已註冊但未加入任何組織,會顯示:「您的帳戶尚未獲得任何 SSO 組織的授權權限。請聯絡管理員進行授權。」
- 帳戶已註冊且加入組織,但未有 SSO 授權組織權限,系統會導向組織清單,請選擇欲存取的組織並切換登入方式。
提醒:
若需透過 SSO 連結存取組織,請聯絡組織管理員將您的電子郵件加入 SSO 組織成員。
常見登入失敗情境
- IdP 無法成功登入
若您的 IdP 帳號未獲 IdP SSO 應用存取權,透過 SSO 連結登入時會在 IdP 端出現錯誤,請聯絡 IdP 管理員協助。
登出帳戶
SSO 登入狀態下的登出流程與常規登入不同:
點擊登出後,系統會自動呼叫 IdP 登出 URL,以實現 IdP 全域登出。
登出後,需於 IdP 平台重新驗證方可再次登入。