联合身份验证的高级选项
您可以在联合身份验证实例中配置高级选项, 以便更好地控制联邦用户和身份验证流程。
必需的访问权限
要管理联合身份验证,您必须对一个或多个将联合设置委托给实例的组织具有 Organization Owner
访问权限。
联合管理控制台
您可以通过 Federation Management Console 管理联合身份验证。
要打开Federation Management Console :
在 Atlas 中,转到Organization Settings 页面。
如果尚未显示,请从导航栏中的Organizations菜单。
单击 Organizations 菜单旁边的 Organization Settings 图标。
显示 “组织设置”页面。
为组织指定默认用户角色
您可以预配 Atlas,为每个通过 IdP进行身份验证的用户在映射的组织中自动提供默认的角色。您可以为不同的组织选择不同的角色。
注意
所选角色仅适用于通过 IdP 进行身份验证的用户,前提是他们在组织中还没有角色。
按域限制对组织的访问
您可以指定已批准的域列表,防止域外用户访问组织。使用此列表,可为组织定义已批准的域列表,而无需将这些域直接映射到 IdP。
重要
Considerations
启用Restrict Access by Domain选项后:
您只能邀请电子邮件地址在已批准的域列表中的新用户加入组织。
组织中已存在的用户,如果用户名不包含已批准列表中的域,则不会限制对组织的访问。
任何映射到 IdP 的域都会自动添加到已批准列表。
在Federation Management Console中:
将域添加到已批准列表。
要将域添加到已批准列表,您可以:
单击 Add Domains from Existing Members。Atlas 打开一个模态框,其中包含组织现有用户电子邮件地址的域。使用此列表,可轻松启用已是组织成员的用户的访问权限。
使用复选框选择所需的域,然后单击Add将其添加到已批准列表。
单击 Add Domains。Atlas 打开一个模态框,您可以在其中手动将域添加到已批准列表。
在输入框中输入要批准的域,然后单击Add 。对每个要批准的域重复此过程。
注意
如果您对联邦的用户成员资格进行限制,则当您添加的域被用于访问联邦之外的组织时,Atlas 就会发出警告。
添加所有所需的域后,单击Submit 。
绕过 SAML 模式
Bypass SAML Mode 提供一个登录URL ,该 URL 可绕过您的联合身份验证,而允许您使用 Atlas 档案进行身份验证。
如果您的联合身份验证设置未正确配置,您可能无法通过IdP登录 Atlas。 Bypass SAML Mode URL有助于防止您被锁定在 Atlas 组织之外。 在配置和测试IdP时,我们建议您记下Bypass SAML Mode URL,以确保您可以登录 Atlas 并正确配置联合身份验证设置。
每个Bypass SAML Mode URL 都与一个单独的IdP关联,并对应于 IdP 的Login URL 。
Bypass SAML Mode 在默认情况下启用, 但在确信已正确配置联合身份验证后,作为一种安全措施, 您可能希望禁用此模式。
要设置Bypass SAML Mode ,请在Federation Management Console中:
启用后登录 Bypass SAML Mode
启用Bypass SAML Mode后,您必须使用以下方式登录 Atlas:
IdP Bypass SAML Mode的 URL 。
用户名:
包含映射到 IdP 的域。
在配置联合身份验证之前,您已使用此用户名登录 Atlas 或 Cloud Manager。
将用户成员资格限制为联合
您可以防止联合身份验证实例中的用户创建新组织 或使用其凭据访问联邦之外的组织。 配置此设置可完全 控制联邦用户,并有助于确保联邦用户只能访问所需的 Atlas 组织。
重要
此设置适用于整个联合,包括联合内的所有身份提供程序和组织。
Considerations
启用此设置后:
任何联合身份验证实例的用户都不能访问联邦之外的组织。
同样,任何联邦用户都不能接受或接收关于加入联邦之外组织的邀请。
联合中具有
Organization Owner
角色的用户仍可创建新组织。 这些新组织会自动连接到您的联邦。联邦中没有
Organization Owner
角色的用户无法创建任何新组织。联邦用户保留其在成员资格受到限制之前对任何组织的访问权限。
步骤
在Federation Management Console中: