為你的磚賬戶設置SSO控製台

使用單點登錄(SSO)進行身份驗證賬戶控製台使用您的組織的身份提供者。賬戶控製台就是你磚戶頭級別的配置管理,包括創建工作區,委托AWS訪問憑證,AWS存儲配置和可選的customer-managed vpc。

不像SSO工作區用戶,這就需要SAML 2.0,賬戶控製台SSO支持使用SAML 2.0或OpenID連接(OIDC)。你的身份提供者(IdP)必須支持至少一種協議。如果您的國內流離失所者支持OIDC和SAML 2.0磚建議你使用OIDC帳戶控製台驗證。

一旦您啟用了SSO的賬戶,所有用戶都必須使用SSO登錄帳戶控製台。隻有賬戶所有者可以使用自己的用戶名登錄電子郵件地址和密碼。

賬戶的行為控製台使用SSO身份驗證用戶是否有變化管理在磚賬戶中的作用。

  • 管理角色,賬戶的用戶可以訪問管理功能控製台創建和修改工作空間和工作空間等資源。

  • 沒有管理角色,用戶是有限的非管理措施(如觀看一個工作區,他們可以登錄列表,和鏈接訪問那些工作區。

工作區做繼承戶頭級別的身份驗證設置。工作區必須繼續驗證用戶工作區使用每個工作空間的工作空間層身份驗證設置,即使工作空間層SSO在帳戶配置為一個或多個工作區。

請注意

使用帳戶級別SSO,必須在您的帳戶E2版本的磚平台Beplay体育安卓版本。所有新磚帳戶和大多數現有的帳戶現在E2。如果你不確定該帳戶類型,請聯係您的磚的代表。

賬戶控製台SSO應用實例

你可以閱讀下麵的說明如何配置SSO身份提供者:

的過程是類似的任何身份提供者支持OIDC或者SAML 2.0。如果你的身份提供者不是上麵列出,遵循下麵的說明OIDCSAML。磚建議你使用OIDC帳戶控製台的身份驗證。

使用OIDC啟用帳戶單點登錄身份驗證

警告

防止得到鎖磚在單點登錄測試,磚建議保持賬戶控製台打開另一個瀏覽器窗口。

  1. 作為一個帳戶所有者或帳戶管理,登錄到賬戶控製台並單擊設置側邊欄的圖標。

  2. 單擊單點登錄選項卡。

  3. 從下拉頂部的選項卡上,選擇OpenID連接

  4. 單點登錄選項卡中,使的注意磚重定向的URI價值。

    當第一次打開單點登錄選項卡

  5. 去你的身份提供者和創建一個新的客戶機應用程序(網絡),進入磚重定向的URI在適當的字段值在身份提供者配置界麵。

    你的身份提供者應該文檔指導您完成這一過程。

  6. 複製到客戶機ID、客戶秘密,OpenID發行人URL生成的身份提供商的應用程序。

    • 客戶機ID的唯一標識符是磚應用程序中創建你的身份提供者。這是有時被稱為應用程序ID

    • 客戶的秘密是一個秘密或密碼生成的磚應用程序創建。它是用來與你的身份提供商授權磚。

    • OpenID發行人URL是你的身份提供商的OpenID的URL配置文檔可以找到。OpenID配置文檔必須發現{issuer-url} / .well-known / openid-configuration

    有關示例,請參見賬戶控製台SSO應用實例

  7. 返回到磚帳戶的控製台單點登錄選項卡並輸入值複製從身份提供者應用程序客戶機ID,客戶的秘密,OpenID發行人URL字段。

    當所有的值已經進入單點登錄選項卡

  8. 點擊啟用SSO啟用單點登錄的所有用戶在您的帳戶。現在所有賬戶管理員除了賬戶所有者必須使用SSO登錄到磚帳戶的控製台。

  9. 測試賬戶與SSO控製台登錄。測試賬戶所有者以外的用戶ID。

    單點登錄選項卡

啟用帳戶使用SAML單點登錄身份驗證

下麵的說明描述了如何使用SAML 2.0驗證帳戶控製台用戶帳戶的所有者。如果您的國內流離失所者支持OIDC和SAML 2.0磚建議您使用OIDC賬戶控製台驗證

警告

防止得到鎖磚在單點登錄測試,磚建議保持賬戶控製台打開另一個瀏覽器窗口。

  1. 查看賬戶控製台SSO頁和複製SAML URL:

    1. 作為一個帳戶所有者或帳戶管理,登錄到賬戶控製台並單擊設置側邊欄的圖標。

    2. 單擊單點登錄選項卡。

    3. 從下拉頂部的選項卡上,選擇SAML 2.0

    4. 複製的價值磚SAML的URL字段。你需要的磚SAML的URL後一步。

      SSO SAML

  2. 在另一個瀏覽器窗口或選項卡中,在你的身份提供者創建一個磚的應用程序:

    1. 去你的身份提供者(IdP)。

    2. 創建一個新的客戶機應用程序(網絡):

      • 用你的身份提供商根據需要的文檔。

      • SAML URL字段(這可能被稱為一個重定向URL),使用磚的磚SAML的URL,你複製頁麵。

    3. 複製下麵的新磚應用程序對象和字段:

      • x。509證書:你的身份提供者所提供的數字證書保護磚和身份提供者之間的通信

      • 單點登錄(SSO)對你的身份提供者URL。這個URL啟動單點登錄與您的身份提供商。這有時也稱為SAML端點。

      • 身份提供者發行人:這是你的SAML身份提供者的惟一標識符。這是有時被稱為實體ID或發行人的URL。

    有關示例,請參見賬戶控製台SSO應用實例

  3. 設置你的磚賬戶使用您的身份提供商:

    1. 返回到瀏覽器選項卡或與磚帳戶的控製台窗口SSO頁麵。

    2. 輸入或者粘貼以下字段從你的身份提供者的磚應用:單點登錄URL,實體身份提供商ID和x。509證書。

    3. 點擊啟用SSO啟用單點登錄的所有用戶在您的帳戶。現在所有賬戶管理員除了賬戶所有者必須使用SSO登錄到磚帳戶的控製台。

    4. 測試賬戶與SSO控製台登錄。測試賬戶所有者以外的用戶ID。

      單點登錄選項卡