Okta 单点登录示例¶

操作场景¶

Okta 是身份识别与访问管理解决方案提供商。观测云支持基于 SAML 2.0（安全断言标记语言 2.0）的联合身份验证，SAML 2.0 是许多身份验证提供商（Identity Provider， IdP）使用的一种开放标准。您可以通过基于 SAML 2.0 联合身份验证将 Okta 与观测云进行集成，从而实现 Okta 帐户自动登录（单一登录）观测云平台访问对应工作空间资源，不必为企业/团队单独创建观测云账号。

操作步骤¶

1、创建 Okta 应用程序¶

1）打开 Okta 网站并登录，点击右上角的用户，在下拉列表选择Your Org。

2）在 Okta 组织页面，在右侧菜单点击Application，在打开的页面点击Create App Integration。

3）选择 SAML 2.0，创建一个新的应用程序。

2、为 Okta 应用程序配置 SAML¶

1）在新创建应用程序的 General Settings，输入应用名称，如“okta”，然后点击下一步。

2）在 Configure SAML 的 SAML Settings部分，填入断言地址和 Entity ID。

• Single sign on URL：断言地址，示例：https://auth.guance.com/saml/assertion；
• Audience URI（SP Entity ID）：Entity ID，示例：https://auth.guance.com/saml/metadata.xml。

3）在 Configure SAML 的 Attribute Statements(optional) 部分，填入 Name 和 Value。

• Name：观测云定义的字段，需填入 Email ，用于关联身份提供商的用户邮箱（即身份提供商将登录用户的邮箱映射到Email）；
• Value：根据身份提供商实际邮箱格式填写，此处 Okta 可填入 user.email。

4）在 Feedback，选择以下选项，点击Finish，完成 SAML 配置。

3、获取 Okta 元数据文档¶

1）在Sign On，单击 Identity Provider metadata 查看身份提供商元数据。

2）在查看页面右键保存至本地。

4、在观测云启用SSO单点登录¶

1）启用 SSO 单点登录，在观测云工作空间管理 > 成员管理 > SSO 管理，点击启用即可。

可参考文档 新建SSO。

2）上传在步骤3中下载的元数据文档，配置域名（邮箱的后缀域名），选择角色，即可获取该身份提供商的实体 ID 和断言地址，支持直接复制登录地址进行登录。

5、在 Okta 替换 SAML 断言地址¶

1）返回 Okta，更新步骤2中的实体 ID 和断言地址。

6.配置 Okta 用户¶

1）在Assignments > Assign，选择Assign to People。

2）选择需要单点登录到观测云的用户，如“jd@qq.com”，点击 Assign。

3）点击 Save and Go Back，完成用户配置。

4）返回Assignments，可查看配置授权的 Okta 用户。

7、使用 Okta 账号单点登录观测云¶

1）SSO配置完成后，通过 观测云官网 或者 观测云控制台 登录，在登录页面选择单点登录。

2）输入在创建 SSO 的邮箱地址，点击获取登录地址。

3）点击链接打开企业账号登录页面。

4）输入企业通用邮箱和密码。

5）登录到观测云对应的工作空间。