跳转至

SAML


开始配置

  1. 身份提供商:提供身份管理服务的平台,用于管理用户身份和认证信息。在此处定义名称。
  2. 元数据文档:由 IdP 提供的 XML 文档。
  3. 备注:自定义添加的描述信息,用于记录身份提供商的相关说明。
  4. 访问限制:校验登录邮箱域名后缀是否与配置域名匹配,匹配的邮箱才有权限访问 SSO 登录链接。用户首次登录时可动态创建观测云成员账号,无需提前在工作空间内创建。
  5. 角色授权:为首次登录的 SSO 账号分配角色,非首次登录的账号不受影响。

    • 若工作空间内启用 SAML 映射,则优先按映射规则分配角色。
  6. 会话保持:设置 SSO 登录会话的无操作保持时间和最大保持时间。超时后,登录会话将失效。

关于角色权限,可参考 角色管理

获取 Entity ID 和 断言地址

身份提供商添加成功后,点击右侧更新按钮,即可获取 Entity ID断言地址,根据身份提供商的要求在对应的 SAML 配置完成后即可。

字段 描述
登录地址 根据元数据文档生成的观测云 SSO 登录地址。每个登录地址仅限访问一个工作空间。
Metadata 根据元数据文档生成的观测云 SSO 元数据文件。
Entity ID 根据元数据文档生成的观测云 SSO 登录的实体 ID。用于在身份提供商(IdP)中标识服务提供商(SP),例如 << custom_key.brand_name >>>。
断言地址 根据元数据文档生成的观测云 SSO 登录的断言目标地址。用于身份提供商(IdP)调用以完成单点登录。

会话保持

配置 SSO 单点登录时,可为通过 SSO 登录的企业成员设置统一的登录保持时间,包括“无操作登录会话保持时间”和“登录会话最大保持时间”。

  • 无操作登录会话保持时间:支持设置范围为 180~1440 分钟,默认值为 180 分钟。
  • 登录会话最大保持时间:支持设置范围为 0~7 天,其中 0 表示永不超时,默认值为 7 天。
举例说明

更新 SSO 登录保持时间后:

  • 已登录的成员:其登录会话过期时间保持不变。
  • 新登录的成员:按照最新的登录保持时间设置生效。

例如:

  • 初始配置 SSO 时,无操作会话过期时间为 30 分钟。成员 A 此时登录后,其无操作会话过期时间为 30 分钟。
  • 管理员随后将无操作会话过期时间更新为 60 分钟。成员 A 的无操作会话过期时间仍为 30 分钟,而在此之后登录的成员 B,其无操作会话过期时间将为 60 分钟,依此类推。

文档评价

文档内容是否对您有帮助? ×