角色映射¶
角色映射是 SSO 的高级功能,可根据身份提供商(IdP)返回的用户属性动态分配观测云角色权限。开启后,员工首次 SSO 登录时将自动获得匹配的角色,无需手动分配。
启用效果¶
-
启用:用户每次登录时,根据 IdP 返回的属性字段动态匹配角色。未匹配任何规则的用户将被剥夺所有角色,无法登录;
-
禁用:用户保留首次登录时分配的默认角色,后续 IdP 属性变更不影响观测云权限。
添加映射¶
- 进入管理 > 成员管理 > SSO 管理 > 角色映射;
- 点击添加映射,开始创建一个新的映射关系;
- 选择当前工作空间内已配置的 SAML 或 OIDC 身份提供商;
- 定义
属性字段:IdP 返回的用户属性名,需与 IdP 实际配置完全一致(区分大小写); - 定义
属性值:该属性的期望值,支持多个值用逗号分隔; - 选择角色:匹配成功时授予的观测云角色(管理员/标准成员/只读成员/自定义角色);
- 保存。
配置示例¶
假设按部门分配角色:
假设 IdP 返回的用户属性为:
在观测云配置:
| 属性字段 | 属性值 | 角色 |
|---|---|---|
department |
技术部 |
管理员 |
groups |
admin,devops |
管理员 |
department |
销售部 |
标准成员 |
注意
- 属性字段名必须与 IdP 实际返回的字段名完全匹配(区分大小写);
- 多个属性值用英文逗号分隔,匹配任一即生效;
- 同一用户匹配多条规则时,按最高权限角色生效。
管理映射规则¶
可通过以下操作对映射规则进行管理。
搜索与筛选¶
-
搜索:支持通过角色、属性字段、属性值关键字搜索;
-
筛选:按身份提供商筛选,快速定位特定 IdP 的规则。
编辑规则¶
点击规则右侧编辑按钮,可修改属性字段、属性值或角色。
修改规则后,已登录用户下次登录时重新校验。若修改后用户不再匹配任何规则,将被剥夺所有角色且无法登录。
删除规则¶
支持单条删除或批量删除。
删除规则后,原本匹配该规则的用户下次登录时将无法匹配角色,被剥夺所有角色且无法登录。建议先确认受影响用户范围,或配置好替代规则后再删除。
更多阅读¶
您可能对以下内容感兴趣: