為你的磚賬戶設置單點登錄控製台

單點登錄(SSO)使你的磚賬戶管理員進行身份驗證賬戶控製台使用您的組織的身份提供者。賬戶控製台就是你磚戶頭級別的配置管理,包括創建工作區,委托AWS訪問憑證,AWS存儲配置和可選的customer-managed vpc。

不像SSO工作區用戶,這就需要SAML 2.0,賬戶控製台SSO支持使用SAML 2.0(公共預覽版)或OpenID連接(OIDC)。你的身份提供者(IdP)必須支持至少一種協議。如果您的國內流離失所者支持OIDC和SAML 2.0磚建議你使用OIDC帳戶控製台驗證。

一旦您啟用了SSO賬戶管理員,所有賬戶管理員都必須使用SSO登錄帳戶控製台。隻有賬戶所有者可以使用自己的用戶名登錄電子郵件地址和密碼。

賬戶的行為控製台使用SSO身份驗證用戶是否有變化管理角色的身份提供者的響應。

  • 管理角色,賬戶的用戶可以訪問管理功能控製台創建和修改工作空間和工作空間等資源。

  • 沒有管理角色,用戶是有限的非管理措施(如查看工作區列表,他們可以登錄和訪問這些鏈接工作區。

工作區做繼承戶頭級別的身份驗證設置。工作區必須繼續驗證用戶工作區使用每個工作空間的工作空間層身份驗證設置,即使工作空間層SSO在帳戶配置為一個或多個工作區。

請注意

使用帳戶級別SSO,必須在您的帳戶E2版本的磚平台Beplay体育安卓版本。所有新磚帳戶和大多數現有的帳戶現在E2。如果你不確定該帳戶類型,請聯係您的磚的代表。

使用OIDC啟用帳戶單點登錄身份驗證

  1. 作為一個帳戶所有者或帳戶管理,登錄到賬戶控製台並單擊設置側邊欄的圖標。

  2. 單擊單點登錄選項卡。

  3. 從下拉頂部的選項卡上,選擇OpenID連接

  4. 單點登錄選項卡中,使的注意磚重定向的URI價值。

    當第一次打開單點登錄選項卡

  5. 去你的身份提供者和創建一個新的客戶機應用程序(網絡),進入磚重定向的URI在適當的字段值在身份提供者配置界麵。

    你的身份提供者應該文檔指導您完成這一過程。

  6. 複製到客戶機ID、客戶秘密,OpenID發行人URL生成的身份提供商的應用程序。

    • 客戶機ID的唯一標識符是磚應用程序中創建你的身份提供者。這是有時被稱為應用程序ID

    • 客戶的秘密是一個秘密或密碼生成的磚應用程序創建。它是用來與你的身份提供商授權磚。

    • OpenID發行人URL是你的身份提供商的OpenID的URL配置文檔可以找到。OpenID配置文檔必須發現{issuer-url} / .well-known / openid-configuration

  7. 返回到磚帳戶的控製台單點登錄選項卡並輸入值複製從身份提供者應用程序客戶機ID,客戶的秘密,OpenID發行人URL字段。

    當所有的值已經進入單點登錄選項卡

  8. 點擊啟用SSO啟用單點登錄的所有用戶在您的帳戶。現在所有賬戶管理員除了賬戶所有者必須使用SSO登錄到磚帳戶的控製台。

  9. 測試賬戶與SSO控製台登錄。測試賬戶所有者以外的用戶ID。

    單點登錄選項卡

啟用帳戶單點登錄身份驗證使用SAML(公共預覽版)

預覽

這個特性是在公共預覽

下麵的說明描述了如何使用SAML 2.0驗證帳戶控製台用戶帳戶的所有者。如果您的國內流離失所者支持OIDC和SAML 2.0磚建議您使用OIDC賬戶控製台驗證

  1. 查看賬戶控製台SSO頁和複製SAML URL:

    1. 作為一個帳戶所有者或帳戶管理,登錄到賬戶控製台並單擊設置側邊欄的圖標。

    2. 單擊單點登錄選項卡。

    3. 從下拉頂部的選項卡上,選擇SAML 2.0

    4. 複製的價值磚SAML的URL字段。你需要的磚SAML的URL後一步。

      SSO SAML

  2. 在另一個瀏覽器窗口或選項卡中,在你的身份提供者創建一個磚的應用程序:

    1. 去你的身份提供者(IdP)。

    2. 創建一個新的客戶機應用程序(網絡):

      • 用你的身份提供商根據需要的文檔。

      • SAML URL字段(這可能被稱為一個重定向URL),使用磚的磚SAML的URL,你複製頁麵。

    3. 複製下麵的新磚應用程序對象和字段:

      • x。509證書:你的身份提供者所提供的數字證書保護磚和身份提供者之間的通信

      • 單點登錄(SSO)對你的身份提供者URL。這個URL啟動單點登錄與您的身份提供商。這有時也稱為SAML端點。

      • 身份提供者發行人:這是你的SAML身份提供者的惟一標識符。這是有時被稱為實體ID或發行人的URL。

    有關示例,請參見賬戶控製台SAML應用實例

  3. 設置你的磚賬戶使用您的身份提供商:

    1. 返回到瀏覽器選項卡或與磚帳戶的控製台窗口SSO頁麵。

    2. 輸入或者粘貼以下字段從你的身份提供者的磚應用:單點登錄URL,實體身份提供商ID和x。509證書。

    3. 點擊啟用SSO啟用單點登錄的所有用戶在您的帳戶。現在所有賬戶管理員除了賬戶所有者必須使用SSO登錄到磚帳戶的控製台。

    4. 測試賬戶與SSO控製台登錄。測試賬戶所有者以外的用戶ID。

      單點登錄選項卡

賬戶控製台SAML應用實例

配置賬戶控製台與OneLogin SAML驗證

按照以下步驟創建一個OneLogin SAML申請使用磚帳戶的控製台。

  1. 磚SAML的URL,作為一個帳戶所有者或帳戶管理,登錄到賬戶控製台。點擊設置在側邊欄,然後點擊單點登錄選項卡。選擇器,選擇SAML 2.0。複製的價值磚SAML的URL字段。

  2. 在一個新的瀏覽器選項卡,登錄OneLogin。

  3. 點擊政府

  4. 點擊應用程序

  5. 點擊添加應用程序

  6. 搜索SAML定義連接器(高級)並單擊結果OneLogin公司。

  7. 顯示名稱

  8. 點擊保存。應用程序的信息選項卡加載。

  9. 點擊配置

  10. 收集必要的信息,設置每個磚SAML的URL以下字段:

    • 觀眾

    • 收件人

    • ACS(消費者)URL驗證器

    • ACS(消費者)的URL

    • 單注銷URL

    • 登錄網址

  11. SAML簽名元素

  12. 點擊參數

  13. 憑證由管理員配置和共享的所有用戶

  14. 點擊電子郵件。將值設置為電子郵件和啟用包括在SAML斷言

  15. 單擊SSO選項卡。

  16. 複製以下值:

    • x。509證書

    • 發行人URL

    • SAML 2.0端點(HTTP)

  17. 驗證SAML簽名元素被設置為響應這兩個

  18. 驗證加密斷言是禁用的。

  19. SSO配置數據磚磚賬戶控製台頁麵。看到啟用帳戶單點登錄身份驗證使用SAML(公共預覽版)詳情可選字段。

    1. 點擊單點登錄

    2. 設置SSO類型下拉SAML 2.0

    3. 單點登錄網址OneLogin SAML 2.0端點。

    4. 實體身份提供商IDOneLogin發行人的URL。

    5. x。509證書OneLogin x。509證書,including the markers for the beginning and ending of the certificate.

    6. 點擊啟用SSO

配置控製台SAML驗證Azure的Active Directory

按照以下步驟創建一個不Azure門戶SAML申請使用磚帳戶的控製台。

  1. 磚SAML的URL,作為一個帳戶所有者或帳戶管理,登錄到賬戶控製台。點擊設置在側邊欄,然後點擊單點登錄選項卡。選擇器,選擇SAML 2.0。複製的價值磚SAML的URL字段。

  2. 在另一個瀏覽器選項卡中,創建一個Azure門戶應用程序:

    1. 作為管理員登錄到Azure門戶。

    2. Azure服務窗格中,單擊企業應用程序。的所有應用程序窗格中打開並顯示一個隨機樣本Azure Active Directory租戶的應用程序。

    3. 企業應用程序窗格中,單擊新的應用程序

    4. 瀏覽Azure Active Directory畫廊窗格中打開並顯示瓷磚對於雲平台,本地應用程序和應用程序。Beplay体育安卓版本

    5. 輸入一個名稱。

    6. 點擊創建您自己的應用程序

    7. 你想做與您的應用程序是什麼?選擇整合其他應用程序你不找到畫廊

  3. 配置Azure門戶應用程序:

    1. 在應用程序的屬性麵板中,單擊用戶和組。選擇用戶和組授予訪問這個SAML應用程序。用戶必須能夠訪問這個SAML應用程序使用SSO登錄你的磚的工作區。

    2. 在應用程序的屬性麵板中,單擊單點登錄

    3. 點擊SAML為SAML驗證配置應用程序。SAML屬性窗格中出現。

    4. 旁邊基本的SAML配置,點擊編輯

    5. 實體的ID的磚SAML的網址你有< Datbaricks > SSO配置頁麵。

    6. 回複URL的磚SAML的網址你有< Datbaricks > SSO配置頁麵。

    7. 旁邊SAML簽名證書,點擊編輯

    8. 簽名選項下拉列表中,選擇SAML響應和斷言

    9. 旁邊證書(Base64),點擊下載。證書和文件下載到本地. c擴展。

    10. 打開. c在文本編輯器中文件並複製文件內容。這個文件是整個x。509證書for the Azure Active Directory SAML application.

      重要的

      • 不要打開它使用macOS鑰匙鏈,這是默認的應用程序在macOS文件類型。

      • 證書是敏感數據。使用謹慎哪裏下載它。從本地存儲盡快刪除它。

    11. 在Azure門戶,下設置Azure廣告SAML工具包,複製並保存登錄網址Azure Active Directory標識符

  4. SSO配置數據磚磚賬戶控製台頁麵。看到啟用帳戶單點登錄身份驗證使用SAML(公共預覽版)詳情可選字段。

    1. 點擊單點登錄

    2. 設置SSO類型下拉SAML 2.0

    3. 單點登錄網址被稱為Azure Active Directory字段登錄網址

    4. 實體身份提供商ID被稱為Azure Active Directory字段Azure Active Directory標識符

    5. x。509證書Azure的Active Directory x。509證書,including the markers for the beginning and ending of the certificate.

    6. 點擊啟用SSO

配置賬戶控製台與Okta SAML驗證

按照以下步驟創建一個Okta SAML申請使用磚帳戶的控製台。

  1. 磚SAML的URL,作為一個帳戶所有者或帳戶管理,登錄到賬戶控製台。點擊設置在側邊欄,然後點擊單點登錄選項卡。選擇器,選擇SAML 2.0。複製的價值磚SAML的URL字段。

  2. 在一個新的瀏覽器選項卡,登錄Okta作為管理員。

  3. 確認電子郵件地址為現有數據磚用戶在Okta完全匹配的電子郵件地址。注意電子郵件地址在磚是大小寫敏感的。

  4. 在主頁上,單擊應用程序>應用程序

  5. 點擊創建應用程序集成

  6. 選擇SAML 2.0並點擊下一個

  7. 應用程序名稱磚SSO的並點擊下一個

  8. 配置應用程序使用以下設置:

    • 單點登錄網址:磚SAML的URL從收集所需的信息

    • 觀眾URI:磚SAML的URL從收集所需的信息

    • 名稱標識格式:EmailAddress

    • 應用程序的用戶名:電子郵件

  9. 點擊高級設置。確保響應被設置為簽署(默認)。簽署斷言是可選的。

    重要的

    不要修改其他高級設置。例如,主張必須設置為加密未加密的

  10. 點擊隱藏高級設置

  11. 點擊下一個

  12. 選擇我是一個Okta客戶添加一個內部應用程序

  13. 點擊完成。磚SAML的應用。

  14. SAML 2.0沒有直到你完成配置設置指令,點擊視圖設置說明

  15. 複製以下值:

    • 身份提供商單點登錄URL

    • 身份提供商發行人

    • x。509證書

  16. SSO配置數據磚磚賬戶控製台頁麵。看到啟用帳戶單點登錄身份驗證使用SAML(公共預覽版)詳情可選字段。

    1. 點擊單點登錄

    2. 設置SSO類型下拉SAML 2.0

    3. 單點登錄網址被稱為Azure Active Directory字段登錄網址

    4. 實體身份提供商IDOkta領域被稱為身份提供商發行人

    5. x。509證書Okta x。509證書,包括證書的開始和結束標記。

    6. 點擊啟用SSO