ProtoPie（SP）目前不提供证书数据（X.509 证书）。

我们的服务会读取 IdP 提供的元数据，并在元数据中存在 X.509 证书时使用该证书。若不存在，则从作为 ACS URL 接收到的 SAML 响应中获取签名的 X.509 证书。

ProtoPie（SP）提供的 ACS URL 可以在管理员控制面板中按如下方式进行检查：“Assertion Consumer URL”。

如果未启用电子邮件/密码验证方式，则无法使用此方式登录。在服务管理设置的“身份验证”中启用电子邮件/密码后，您即可登录。

完成此流程后，成员可在“账户设置”中设置自己的密码。

目前，ProtoPie企业版不支持单点注销（SLO）。

如果您使用 SAML 或 OIDC 注册，名字和姓氏会自动加载到 IdP。

• 如果 SAML 值显示不正确，请检查 IdP 中的 SAML 设置。

• 对于 OIDC，如果该值显示不正确，请检查 IdP。

如果需要，您可以使用两种验证方式中的任意一种。但是，您不能禁用所有验证方式。至少需要启用一种验证方式，即“电子邮件和密码”或 SSO。

若要仅启用 SSO 验证方式，需要将要更改配置的服务管理员设置为支持 SSO 登录。对于初始系统配置中采用“电子邮件和密码”方式设置的服务管理员，请参考以下步骤。

1. 邀请一位将被设为服务管理员的新用户。

2. 该用户通过 SSO 验证方式注册。

3. 将受邀用户指定为服务管理员。

4. 登录后，该用户禁用“电子邮件和密码”验证方式。

5. （可选）将现有服务管理员角色更改为成员。

在 SAML 请求中，它是一种让 SP 请求 IDP 使用特定身份验证机制对用户进行身份验证的方式。这是可选的，取决于您的 IdP 的设置选项，并且需要您的 IdP 管理员确认。

• urn:oasis:names:tc:SAML:2.0:ac:classes:X509

• urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

不，你不需要。即使你在 IdP 中添加或删除用户，这也不会自动反映到 ProtoPie 企业版。

实体 ID 是 SAML 实体的全局唯一名称，即您的身份提供商（IdP）或服务提供商（SP）。实体 ID 就是名称。它不必是可解析的 Web 地址。 SAML 实体 ID 必须是一个 URI。

ProtoPie Enterprise 采用以下格式（ACS URL）

• 企业云：https://sample.protopie.cloud/api/auth/callback/sso/saml

• 企业本地部署：{PROTOPIE_HOST}/api/auth/callback/sso/saml

仅当 IdP 和 ProtoPie Enterprise 中注册的电子邮件地址相同时，系统才会将该用户识别为同一用户。因此，如果在 IdP 中更改电子邮件地址，您需要将 ProtoPie 中注册的电子邮件地址更改为与 IdP 中相同的地址。

当服务管理员更改所有成员的电子邮件地址时，请参考以下流程。

1. 在 IdP 中更改除服务管理员账户之外的所有电子邮件地址。

2. 由服务管理员在 ProtoPie 的管理仪表板中更改所有电子邮件地址。

3. 服务管理员可前往 账户设置 → 个人资料，更改其自己的账户。

4. 通过访问待更改电子邮件地址对应的邮件服务并查收确认邮件，完成电子邮件地址更改。

注意：如果服务管理员的验证方式设置为 SSO 登录，请按照此流程并更改 IdP 电子邮件地址。