SSO 管理¶
观测云支持基于 SAML 协议的 SSO 管理,支持企业在本地 IdP(身份提供商) 中管理员工信息,无需进行观测云和企业 IdP 之间的用户同步,企业员工即可通过指定的角色登录访问观测云。
在 SSO 管理,您可以:
- 基于配置企业域名为员工设置单点登录: 只要符合企业统一身份认证的员工都可以通过和企业域名相同后缀的邮箱单点登录到观测云,访问权限可选择只读成员或标准成员。
- 基于配置企业域名,并开启 SAML 映射关系,为企业提供更精细的单点登录方案: 开启 SAML 映射后,支持为企业员工动态的分配访问权限,员工可根据被分配的角色权限来访问观测云。
基于配置企业域名为员工设置单点登录¶
观测云支持基于企业域名为员工设置单点登录,只要符合企业统一身份认证的员工都可以通过和企业域名相同后缀的邮箱单点登录到观测云,访问权限可选择只读成员或标准成员。
启用 SSO 登录¶
在观测云工作空间管理 > 成员管理 > SSO 管理 > SSO 登录,点击启用,即可为员工设置SSO单点登录。
Attention
- 基于账号安全考虑,观测云支持工作空间仅配置一个 SSO,若您之前已经配置过 SAML2.0 ,我们默认会将您最后一次更新的 SAML2.0 配置视为最终单点登录验证入口;
- 若多个工作空间同时配置了相同的身份提供商 SSO 点单登录,用户通过 SSO 单点登录到工作空间后,可以点击观测云左上角的工作空间选项,切换不同的工作空间查看数据。
| 字段 | 描述 |
|---|---|
| 类型 | 默认 SAML。 |
| 元数据文档 | IdP (身份提供商)提供的 XML 文档。 |
| 域名 | 用于校验单点登录时输入的邮箱后缀是否和域名匹配,匹配的邮箱可以在线获取单点登录链接,用户可以在首次登录时动态创建观测云成员账号,无需提前在工作空间内创建。 |
| 角色 | 选择用于设置新的 SSO 成员首次登录时被授予的角色,现有成员不受影响,包括只读成员和标准成员;若工作空间内启用 SAML 映射功能,成员登录时会优先分配映射规则中的角色。 关于角色权限可参考文档 角色管理。 |
| 登录保持时间 | 用于设置单点登录成员无操作登录会话保持时间和登录会话最大保持时间,设置以后,超时登录会话会失效。 |
| 备注 | 用户针对身份提供商可以自定义添加的描述信息。 |
获取 Entity ID 和 断言地址¶
完成以上信息填写后,点击确认,即可获取 Entity ID 和断言地址,根据身份提供商的要求在对应的 SAML 配置完成后即可。
- 登录地址:基于用户上传的元数据文档生成的观测云 SSO 的登录地址,一个登录地址有且只能访问一个工作空间。
- Metadata:基于用户上传的元数据文档生成的观测云 SSO 的元数据文档。
- Entity ID:基于用户上传的元数据文档生成的观测云 SSO 登录的响应实体ID,用于在身份提供商标识服务提供商(SP),如观测云。
- 断言地址:基于用户上传的元数据文档生成的观测云 SSO 登录的响应目标地址,用于在身份提供商调用进行单点登录。
获取 Entity ID 和断言地址后,点击确认或取消返回 SSO 管理。
设置登录会话保持时间¶
观测云支持为登录到工作空间的账号设置会话保持时间,包括 SSO 单点登录的账号和工作空间注册的账号。
在配置 SSO 单点登录时,支持为通过 SSO 单点登录的企业成员设置统一的登录保持时间,包括无操作登录会话保持时间和登录会话最大保持时间,设置以后,超时登录会话会失效。
- 无操作登录会话保持时间:支持设置范围 180 ~ 1440 分钟,默认为 180 分钟;
- 登录会话最大保持时间:支持设置范围 0 ~ 7 天,其中 0 表示永不超时,默认为 7 天。
Attention
配置 SSO 单点登录后,若更新了 SSO 的登录保持时间,在此之前登录的 SSO 成员账号登录会话过期时间不变,在此之后登录的 SSO 成员账号按照最新设置的登录保持时间。
例如:
- 配置 SSO 单点登录时,无操作会话过期时间为 30 分钟,成员 A 此时登录了观测云,即其 SSO 登录账号无操作会话过期时间为 30 分钟;
- 此后,管理员更新无操作会话过期时间为 60 分钟,成员 A 的 SSO 的登录账号无操作会话过期时间还是为 30 分钟;若在此之后有成员 B 登录观测云,则其 SSO 登录账号无操作会话过期时间为 60 分钟,以此类推。
更新/删除 SSO¶
启用 SSO 以后,支持更新和删除 SSO 配置,一旦更新或者删除将影响现有的 SSO 成员登录,请谨慎操作。
查看 SSO 成员¶
启用 SSO 以后,若企业成员通过 SSO 单点登录到观测云,即可在 SSO 登录查看所有登录过的成员数量,点击成员的数字,可查看具体被授权单点登录成员名单。
配置示例¶
基于配置企业域名和 SAML 映射为员工设置单点登录¶
观测云支持基于配置 SAML 映射关系,为企业提供更精细的单点登录方案,开启 SAML 映射后,支持为企业员工动态的分配访问权限,员工可根据被分配的角色权限来访问观测云。
启用 SAML 映射¶
在观测云工作空间管理 > 成员管理 > SSO 管理 > SSO 登录,启用 SAML 映射即可。
Attention
- 启用后,使用 SAML 登录的用户账号将被剥夺其当前所在工作空间中的角色,并根据身份提供商传递的 SAML 断言中的属性字段和属性值匹配 SAML 映射规则动态分配角色。若未匹配到 SAML 映射规则,则用户账号将被剥夺所有角色,且不允许登录访问观测云工作空间;
- 禁用后,使用 SAML 登录用户将继续拥有之前分配给他们账号的角色,该角色不受身份提供商侧断言更改影响。
配置 SAML 映射角色¶
在观测云工作空间管理 > 成员管理 > SSO 管理 > SAML 映射,点击添加映射,即可创建一个新的映射关系。
在新建映射的对话框中,输入需要映射的属性字段及其属性值,选择角色,点击保存。
- 属性字段/属性值:在 SAML 映射配置的属性字段及属性值,必须和 IdP 的账号上配置的属性字段及属性值保持一致,SAML 映射才能验证成功,验证成功后,会在 IdP 账号登录时为账号赋予 SAML 映射对应的角色权限;
- 角色:观测云支持四种默认成员角色 Owner 、 Administrator 、“Standard”和“Read-only”,您也可以在「角色管理」创建新的角色,并为角色赋予权限范围,满足不同用户的权限需要。
搜索/编辑/删除映射角色¶
- 搜索:支持通过角色、属性字段、属性值对配置的映射角色进行筛选查看;
- 编辑:支持点击编辑按钮重新修改已配置的映射角色,此时使用 SAML 登录没有映射到观测云角色的用户将被剥夺所有角色,并且不允许登录到观测云控制台;
- 删除:支持点击删除按钮删除已配置的映射角色,此时使用 SAML 登录没有映射到观测云角色的用户将被剥夺所有角色,并且不允许登录到观测云控制台。
登录观测云控制台¶
SSO 配置完成后,通过 观测云官网 登录,在登录页面选择单点登录。
输入在创建 SSO 的邮箱地址,点击获取登录地址。
点击链接打开企业账号登录页面。
输入企业通用邮箱和密码可直接登录到观测云对应的工作空间,若多个工作空间同时配置了相同的身份提供商 SSO 点单登录,可在观测云左上角切换查看不同的工作空间的数据。
SSO 账号管理¶
SSO 账号进入工作空间后,点击左侧账号 > 账号管理,可对 SSO 账号进行修改。
- 支持修改头像、用户名;
- 支持修改登录保持时间。
Attention
通过 SSO 登录的账号,默认使用 SSO 配置的登录保持时间,在账号管理修改后,使用修改后的登录保持时间。更多参考文档 账号登录保持时间。
邮件通知¶
启用、配置、删除 SSO,对应工作空间的 Owner 和 Administrator 会收到相关邮件通知。
审计事件¶
启用、配置、删除 SSO 都会产生审计事件。
在观测云工作空间,点击管理 > 设置 > 安全 > 操作审计,点击查看,即可查看当前工作空间所有的审计事件。
