SAML¶
进入管理 > 成员管理 > SSO 管理 > 用户 SSO,选择 SAML 访问类型,开始添加身份提供商。
开始添加身份提供商¶
- 身份提供商:提供身份管理服务的平台,用于管理用户身份和认证信息。在此处定义名称(❗️该名称将作为 IdP 别名并呈现在单点登录 IdP 选择界面中,为确保您可快速定位所需登录的 IdP,需填写合适的名称);
- 元数据文档:由 IdP 提供的 XML 文档;
- 备注:自定义添加的描述信息,用于记录身份提供商的相关说明;
- 访问限制:校验登录邮箱域名后缀是否与配置域名匹配,匹配的邮箱才有权限访问 SSO 登录链接。用户首次登录时可动态创建观测云成员账号,无需提前在工作空间内创建;
-
角色授权:为首次登录的 SSO 账号分配角色,非首次登录的账号不受影响;
- 若工作空间内启用 SAML 映射,则优先按映射规则分配角色。
-
会话保持:设置 SSO 登录会话的无操作保持时间和最大保持时间。
关于角色权限,可参考 角色管理。
获取 Entity ID 和 断言地址¶
身份提供商添加成功后,点击右侧更新按钮,即可获取 Entity ID 和断言地址,根据身份提供商的要求在对应的 SAML 配置完成后即可。
| 字段 | 描述 |
|---|---|
| 登录地址 | 根据元数据文档生成的观测云 SSO 登录地址。每个登录地址仅限访问一个工作空间 |
| Metadata | 根据元数据文档生成的观测云 SSO 元数据文件 |
| Entity ID | 根据元数据文档生成的观测云 SSO 登录的实体 ID。用于在身份提供商(IdP)中标识服务提供商(SP),例如 观测云 |
| 断言地址 | 根据元数据文档生成的观测云 SSO 登录的断言目标地址。用于身份提供商(IdP)调用以完成单点登录 |
会话保持¶
配置 SSO 单点登录时,可为通过 SSO 登录的企业成员设置统一的登录保持时间,包括“无操作登录会话保持时间”和“登录会话最大保持时间”。
- 无操作登录会话保持时间:支持设置范围为 180~1440 分钟,默认值为 180 分钟。
- 登录会话最大保持时间:支持设置范围为 0~7 天,其中 0 表示永不超时,默认值为 7 天。
举例说明
更新 SSO 登录保持时间后:
- 已登录的成员:其登录会话过期时间保持不变。
- 新登录的成员:按照最新的登录保持时间设置生效。
例如:
- 初始配置 SSO 时,无操作会话过期时间为 30 分钟。成员 A 此时登录后,其无操作会话过期时间为 30 分钟。
- 管理员随后将无操作会话过期时间更新为 60 分钟。成员 A 的无操作会话过期时间仍为 30 分钟,而在此之后登录的成员 B,其无操作会话过期时间将为 60 分钟,依此类推。
登录验证¶
- 邮箱登录进入观测云 SSO 页面:https://auth.guance.com/login/sso;
- 输入创建 SSO 时配置的邮箱地址,选择需要登录的工作空间所属 IDP;
- 认证成功后,跳转至工作空间选择界面;
- 登录该地址;
- 输入用户名、密码等信息;
- 登录成功。
注意
- 如果工作空间启用了角色映射,但当前用户未匹配到角色或角色映射被禁用,将提示“无访问权限”;
- 工作空间删除身份提供商后,用户选择 SSO 登录时,将看不到未授权的工作空间。