SAML¶

本文介绍如何在观测云工作空间配置基于 SAML 2.0 协议的单点登录（SSO）。

前置准备¶

在开始配置前，请确保您已准备好：

配置步骤¶

第一步：进入配置页面¶

1. 进入管理 > 成员管理 > SSO 管理 > 用户 SSO；
2. 选择 SAML 访问类型；
3. 点击添加身份提供商。

第二步：填写基础信息¶

1. 身份提供商：提供身份管理服务的平台，用于管理用户身份和认证信息。在此处定义名称（❗️该自定义显示名称，将作为 IdP 别名呈现在登录选择界面。建议填写易于识别的名称，如公司 Azure AD）；
2. 元数据文档：上传 IdP 提供的 XML 格式元数据文件，系统将自动解析登录地址、公钥等信息；
3. 备注：自定义描述信息，用于记录该身份提供商的相关说明；

第三步：登录控制¶

1. 访问限制：填写企业邮箱域名（如 example.com），系统将校验登录邮箱后缀是否匹配。首次登录的邮箱可自动创建工作空间成员账号；

2. 角色授权：为首次登录的 SSO 用户分配默认角色（管理员/标准成员/只读成员）。非首次登录用户不受影响；

   • 若工作空间内启用 SAML 映射，系统将优先按映射规则分配角色，此处配置的默认角色仅对未匹配映射规则的用户生效。

3. 会话保持：设置 SSO 登录会话的无操作保持时间和最大保持时间。

会话保持¶

为通过 SSO 登录的企业成员设置统一的登录保持时间。

修改会话保持时间后，已登录成员保持原有设置，新登录成员按最新设置生效。

第四步：获取 SP 配置信息¶

身份提供商添加成功后，在编辑页面下滑至服务提供商详情区域，获取观测云作为 SP（服务提供商）的配置信息：

第五步：在 IdP 中配置 SP 信息¶

根据第四步获取的信息，在您的 IdP 中完成以下配置：

1. Entity ID：填入观测云提供的 Entity ID；
2. ACS URL（断言地址）：填入观测云提供的断言地址；
3. Name ID 格式：确保 IdP 返回用户邮箱（EmailAddress 格式）；
4. 签名证书：上传观测云元数据中的证书（如需要）。

常用 IdP 配置参考¶

• 阿里云 IDaaS

• Authing

• Azure AD

• IAM Identity Center

• Okta

• Keycloak

用户登录验证¶

1. 邮箱登录进入观测云 SSO 页面：https://auth.guance.com/login/sso；
2. 输入创建 SSO 时配置的邮箱地址，选择需要登录的工作空间所属 IDP；
3. 认证成功后，跳转至工作空间选择界面；
4. 登录该地址；
5. 输入用户名、密码等信息；
6. 登录成功。

注意事项¶

1. 角色映射启用时：若用户未匹配任何角色映射规则，或角色映射被禁用，登录后将提示“无访问权限”；
2. 删除身份提供商后，用户通过 SSO 登录时，将无法看到已删除 IdP 对应的工作空间；
3. 多 IdP 配置：单个工作空间最多支持 10 个 IdP，用户邮箱域名匹配任一 IdP 即可登录；
4. 账号绑定：SSO 首次登录时，若邮箱与现有观测云账号一致，自动绑定并保留历史数据。

更多阅读¶

您可能对以下内容感兴趣：