什么是联合身份认证?

联合身份认证是在服务提供商（SP）和身份提供商（IdP）之间创建信任的一种方式，这有助于用户对所提供的服务进行身份验证。这允许您使用您公司或组织的域凭据登录Bentley，凭借您的公司或组织身份服务供应商所提供的身份来安全地执行身份验证。这通常也称为单一登录（SSO）。

与Bentley进行联合身份认证需要多久的时间?

这取决于您——我们可以很快完成，也可以取决于您的需要来花尽可能多的时间在多个用户组中获得批准、配置和测试。

有关新联合认证请求指南，请参阅此链接: New Federation Request - SLA - Licensing, Cloud and Web Services Wiki - Licensing, Cloud and Web Services - Bentley Communities

与Bentley进行联合身份认证是否会造成其他与Bentley产品使用相关的影响? 

与Bentley的IMS的联合身份认证是一个独立的项目，可以按照自己的节奏完成，而不考虑您与Bentley的任何其他工作。不依赖于联合，应用程序也不受您与Bentley IMS联合身份认证的决定的影响。您可以在任何其他正在进行的工作之前、期间或之后完成联合认证的部署及设置。

什么是身份认证供应商 (SP)?

服务提供商是——在联合身份认证的情况下向您提供的服务（应用程序），依赖身份提供商向服务提供商提供有关身份验证用户的详细信息，因为服务提供商本身并不处理服务中的身份验证。

是否可以使用供多个公司/组织共用的域来与Bentley进行联合身份认证?

不可以。有一些技术限制要求来自单个联合会的所有用户只能链接到单个Bentley组织，或者换句话说，所有用户必须是同一用户管理的一部分才能进行联合。无法将用户拆分为多个组织。

是否可以在正式环境中测试身份联合认证?

可以。我们将在生产环境中以特殊的隔离模式设置联合身份认证，允许具有特殊测试说明的用户测试身份认证。您将被登录到真实的生产环境的IMS帐户中。您应该在所有应用程序中保持正确且相同访问权限。如果您在测试过程中有任何问题，请确保让与您合作的身份认证工程师知道这些问题。

在测试身份认证时是否会产生其他影响?

不会。当测试身份认证被激活时，即使您从旧的联合身份认证迁移过来，用户也不会被影响。用户不需要出于任何原因注销和重新登录。

开启联合身份认证后，是否还需要创建用户?

不需要。如果用户帐户不存在，联合身份认证机制会将自动创建一个用户帐户，该用户将自动同步在您的用户管理列表中，并立即拥有您公司或组织的默认权限。

CONNECTION Client和SaaS应用程序之间的通讯会话是否共享? 

不会。出于安全的考量，CONNECTION Client和您的SaaS应用程序不共享会话。这意味着您需要分别登录CONNECTION Client和SaaS应用程序，它们将维护不同的通讯进程。

单次登录CONNECTION Client可维持多久的身份验证? 

CONNECTION Client会生成一个有效期为七天的令牌，在第六天，CONNECTION Client会自动联系IMS以刷新用户令牌。如果由于任何原因（没有互联网、您的机器关闭等）而失败，则在第七天令牌到期后，用户将退出CONNECTION Client，并且必须重新登录。

网络浏览器内的会话适合24小时的连续活动。如果有一个小时处于非活动状态，则会话将过期。请注意，会话保存在浏览器存储中，如果任何选项卡使IMS会话过期，则该浏览器使用IMS会话的所有选项卡都将过期，即使该选项卡是该浏览器的另一个窗口。每个浏览器都有自己的存储空间，因此在Edge中过期的会话不会在Chrome中过期。

需要注意的是，会话和令牌是不同的。应用程序可以使用身份验证过程中发布的令牌独立维护您对桌面应用程序或后台服务的访问。然而，SaaS应用程序需要一个活动的IMS会话来保持您的登录，这与身份验证过程中发布的令牌是分开的。这就是为什么CONNECTION Client和其他桌面应用程序可以使您的登录时间超过24小时会话限制，但您经常需要重新验证您的SaaS应用程序。

如何更改我的电子邮件/用户名?

联合身份验证用户不允许直接更改其电子邮件/用户名。如果您需要更改您的电子邮件/用户名，请让您的Bentley帐户管理员知道，他们可以帮助您更改电子邮件/用户名。

帐户管理员可以通过使用来自的批量操作工具同时更新用户的电子邮件和用户名, 步骤可以参考以下说明。

重要提示：联合用户在您的身份提供商处进行身份验证后，将通过提供给我们的唯一值来识别。如果将用户的IMS E-Mail/Username更改为与联盟中的标识符不匹配的值，则该用户最终将登录到第二个帐户。标识符和IMS电子邮件/用户名必须匹配，用户才能登录到正确的帐户。如果您希望在更改联合用户电子邮件/用户名方面获得一些帮助，请提交一张票证，联合工程师将协助您进行更改。

如何进行修改密码?

联合身份认证用户密码不由Bentley管理，也从未与Bentley共享。由于您正在登录您的工作帐户，您需要联系您工作的IT团队来重置密码。

我可以控制哪些用户通过联合身份认证机制来登录吗?

可以。您的身份提供程序将为您提供一些方法来强制执行允许通过联合应用程序登录的用户或组列表。一旦您加入联合身份验证，您的身份提供商将负责确认谁应该或不应该访问该应用程序，我们相信您的身份供应商只会为应该访问Bentley的用户提供安全令牌。

我可以使用Azure B2B身份验证或其他形式的外部身份验证吗? 

可以，但这需要与Bentley的IMS团队进行额外的讨论。请提交一份身份联合认证请求，与工程师交谈，并全面了解B2B实施。