SSO 配置常见问题¶
问题一:什么是观测云SSO单点登录?¶
单点登录(SSO)是整合企业系统的解决方案之一,用于统一用户身份认证,用户只需要登录一次就可以访问所有企业相互信任的应用系统。观测云的SSO单点登录基于 SAML 2.0(安全断言标记语言 2.0)的联合身份验证。
SAML 的英文全称是Security Assertion Markup Language,即安全断言标记语言,是一个基于 XML 的开源标准数据格式,专门支持联合身份验证,在身份提供商(IdP)和服务提供商(SP)之间安全的交换身份验证和授权数据。
SAML 基本概念如下:
| 名词 | 解释 |
|---|---|
| 身份提供商(IdP) | 一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。如 Azure AD、Authing、Okta、Keycloak 等等。 |
| 服务提供商(SP) | 利用 IdP 的身份管理功能,为用户提供具体服务的应用,SP会使用IdP提供的用户信息。如观测云。 |
| 安全断言标记语言(SAML 2.0) | 实现企业级用户身份认证的标准协议,它是SP和IdP之间实现互相信任的技术实现方式之一。 |
| SAML 断言(SAML assertion) | SAML 协议中用来描述认证请求和认证响应的核心元素。如用户的具体属性(如观测云单点登录需要配置的邮箱信息)就包含在认证响应的断言里。 |
| 信赖(Trust) | 建立在SP和IdP之间的互信机制,通常由公钥和私钥来实现。SP通过可信的方式获取IdP的SAML元数据,元数据中包含IdP签发SAML断言的签名验证公钥,SP则使用公钥来验证断言的完整性。 |
问题二:如何获取用于在观测云SSO管理创建身份提供商的云数据文档?¶
在身份提供商配置完 SAML 单点登录的实体 ID 和回调地址(断言地址)以后,即可下载云数据文档。若无实体ID和回调地址(断言地址),可填入以下示例获取元数据文档。
在观测云中启用SSO单点登录后,获取到正确的实体ID和断言地址后重新替换。关于如何获取观测云的断言地址和实体 ID,可参考文档 启用SSO。
问题三:常见的SAML协议的SSO单点登录需要通过配置实体ID和回调地址(断言地址)进行登录,如何获取观测云的实体ID和回调地址(断言地址)?¶
1)启用 SSO 单点登录,在观测云工作空间管理 > 成员管理 > SSO 管理,点击启用即可。可参考文档 启用SSO。
2)上传身份提供商的元数据文档,配置“域名”,选择角色,即可获取该身份提供商的实体ID和断言地址,支持直接复制登录地址进行登录。
问题四:在身份提供商配置完成实体ID和回调地址(断言地址)以后,还是无法在观测云进行单点登录,如何解决?¶
在配置身份提供商 SAML 时,需要配置邮箱映射,用于关联身份提供商的用户邮箱(即身份提供商将登录用户的邮箱映射到观测云的关联字段)。
观测云中定义了一个关联映射字段,必须填入 Email 来进行映射。如在 Azure AD 中,需要在属性和索赔中增加属性声明,见下图:
- 名称:观测云定义的字段,需填入 Email;
- 源属性:根据身份提供商实际邮箱选择“user.mail”。
问题五:在身份提供商配置了邮箱映射声明以后,还是无法在观测云进行单点登录,如何解决?¶
观测云定义的关联映射邮箱字段通过正则表达式来匹配身份提供商的邮箱规则,若配置的身份提供商邮箱规则不符合观测云支持的邮箱正则表达式,故无法进行单点登录,可联系观测云售后进行处理。
目前的观测云支持的邮箱正则表达式如下:
[\w!#$%&'*+/=?^_~-]+(?:.[\w!#$%&'*+/=?^_{|}~-]+)*@(?:[\w](?:[\w-]*[\w])?\.)+[\w](?:[\w-]*[\w])?
您可以如下通过测试网站进行正则测试:
https://c.runoob.com/front-end/854/
问题六:在身份提供商配置完成实体ID、回调地址(断言地址)、“邮箱映射及声明”以后,还是无法在观测云进行单点登录,如何解决?¶
观测云支持基于配置 SAML 映射关系,为企业提供更精细的单点登录方案,若开启了 SAML 映射,使用 SAML 登录到观测云账号的用户将被剥夺其当前角色,并根据身份提供商传递的 SAML 断言中的详细信息以及列出的映射重新分配新的角色。使用 SAML 登录没有映射到观测云角色用户将被剥夺所有角色,并且不允许登录到观测云控制台。
您可以基于 IdP 的属性字段及属性值,在观测云 SAML 映射中配置属性字段、属性值、角色,配置完成后,即可通过 SAML 登录到观测云控制台。
问题七:在观测云是否可以配置多个SSO单点登录?¶
基于账号安全考虑,观测云支持工作空间仅配置一个 SSO,若您之前已经配置过 SAML 2.0,我们默认会将您最后一次更新的 SAML2.0 配置视为最终单点登录验证入口。
若多个工作空间同时配置了相同的身份提供商 SSO 点单登录,用户通过 SSO 单点登录到工作空间后,可以点击观测云左上角的工作空间选项,切换不同的工作空间查看数据。
问题八:通过 SSO 登录的账号有支持哪些访问权限?¶
SSO单点登录配置时支持设置角色访问权限包括标准成员和只读成员,可以在成员管理设置升级到“管理员”,若工作空间内启用 SAML 映射功能,成员登录时会优先分配映射规则中的角色。
详情可参考文档 角色管理。
问题九:通过 SSO 登录的账号是否可以在观测云删除?删除后是否可以再次登录?¶
在 SSO 管理,支持点击成员的数字跳转到成员管理查看具体被授权单点登录成员名单,支持删除 SSO 登录成员,在观测云删除后,只要身份提供商未删除,该成员还可以继续登录观测云工作空间。若需要彻底删除且不让该成员通过 SSO 登录,需同时删除观测云和身份提供商的用户账号。
