SAML¶
开始配置¶
- 身份提供商:提供身份管理服务的平台,用于管理用户身份和认证信息。在此处定义名称。
- 元数据文档:由 IdP 提供的 XML 文档。
- 备注:自定义添加的描述信息,用于记录身份提供商的相关说明。
- 访问限制:校验登录邮箱域名后缀是否与配置域名匹配,匹配的邮箱才有权限访问 SSO 登录链接。用户首次登录时可动态创建观测云成员账号,无需提前在工作空间内创建。
-
角色授权:为首次登录的 SSO 账号分配角色,非首次登录的账号不受影响。
- 若工作空间内启用 SAML 映射,则优先按映射规则分配角色。
-
会话保持:设置 SSO 登录会话的无操作保持时间和最大保持时间。
关于角色权限,可参考 角色管理。
获取 Entity ID 和 断言地址¶
身份提供商添加成功后,点击右侧更新按钮,即可获取 Entity ID 和断言地址,根据身份提供商的要求在对应的 SAML 配置完成后即可。
| 字段 | 描述 |
|---|---|
| 登录地址 | 根据元数据文档生成的观测云 SSO 登录地址。每个登录地址仅限访问一个工作空间。 |
| Metadata | 根据元数据文档生成的观测云 SSO 元数据文件。 |
| Entity ID | 根据元数据文档生成的观测云 SSO 登录的实体 ID。用于在身份提供商(IdP)中标识服务提供商(SP),例如 << custom_key.brand_name >>>。 |
| 断言地址 | 根据元数据文档生成的观测云 SSO 登录的断言目标地址。用于身份提供商(IdP)调用以完成单点登录。 |
会话保持¶
配置 SSO 单点登录时,可为通过 SSO 登录的企业成员设置统一的登录保持时间,包括“无操作登录会话保持时间”和“登录会话最大保持时间”。
- 无操作登录会话保持时间:支持设置范围为 180~1440 分钟,默认值为 180 分钟。
- 登录会话最大保持时间:支持设置范围为 0~7 天,其中 0 表示永不超时,默认值为 7 天。
举例说明
更新 SSO 登录保持时间后:
- 已登录的成员:其登录会话过期时间保持不变。
- 新登录的成员:按照最新的登录保持时间设置生效。
例如:
- 初始配置 SSO 时,无操作会话过期时间为 30 分钟。成员 A 此时登录后,其无操作会话过期时间为 30 分钟。
- 管理员随后将无操作会话过期时间更新为 60 分钟。成员 A 的无操作会话过期时间仍为 30 分钟,而在此之后登录的成员 B,其无操作会话过期时间将为 60 分钟,依此类推。