管理联合身份验证的组织映射
当您将组织映射到身份提供者时,Atlas 向通过 IdP进行身份验证的用户授予所选组织的成员资格。您可以为这些用户指定映射组织中的默认角色。组织映射允许您配置单个IdP ,授予用户对多个 Atlas 组织的访问权限。
您可以将同一 IdP 应用于多个组织。您可以为每个组织分配一个 IdP。
必需的访问权限
如需管理联合身份验证,必须拥有一个或多个组织的 Organization Owner
(组织所有者)访问权限,这些组织会将联合设置委托给实例。
先决条件
要完成本教程,您必须已经将 IdP 链接到 Atlas,并将一个或多个域映射到此 IdP。有关这些过程的说明,请参阅:
将组织映射到身份提供者
注意
当您将组织映射到Organization's IdP certificate is about to expire
IdP 提供商时,Atlas 会自动创建 警报。如果删除映射,Atlas 将删除此警报的所有实例。
在 Atlas 中,转到Organization Settings 页面。
如果尚未显示,请从导航栏中的Organizations菜单。
单击 Organizations 菜单旁边的 Organization Settings 图标。
显示 “组织设置”页面。
将一个组织连接到联合应用程序。
单击 View Organizations(连接)。
Atlas 显示您属于
Organization Owner
(组织所有者)的所有组织。尚未连接到联合应用程序的组织在 Actions(操作)列中具有 Connect(连接)按钮。
单击所需组织的 Connect(连接)按钮。
将一个身份提供程序应用于组织。
从管理控制台的 Organizations 屏幕:
单击要映射到一个 IdP 的组织的 Name(名称)。
在 Identity Provider 屏幕上,单击 Apply Identity Provider。
Atlas 会将您引导至 Identity Providers(身份提供程序)页面,显示您已链接 Atlas 的所有 IdP。
对于要应用到组织的 IdP,请单击 Add Organizations。
在 Apply Identity Provider to Organizations(将身份提供商应用于组织)模式中,选择此 IdP 适用的组织。
单击 Confirm(连接)。
更改组织的映射身份提供者
重新配置 IdP,更改映射的组织。
(可选) 为组织配置高级选项
以下可选设置可进一步控制组织的用户管理和身份验证。
为组织分配默认用户角色
您可以为通过 IdP 进行身份验证的用户分配映射组织中的默认角色。配置此选项,可确保通过 IdP 进行身份验证的用户拥有相同的权限集。组织映射不需要此设置。
有关分配默认角色的说明,请参阅为组织分配默认用户角色。
注意
所选默认角色仅适用于通过 IdP 进行身份验证的用户,前提是他们尚未拥有映射到 IdP 群组的 Atlas 角色。
按域限制对组织的访问
您可以将对组织的访问限制为已批准的域列表。这样,您就可以设置组织用户可以登录的域,而无需将这些域直接映射到 IdP。
有关按域限制访问的说明,请参阅按域限制对组织的访问。
断开组织与联合应用程序的连接
当您断开组织与联邦应用程序的连接时,Atlas 不再向通过 IdP 进行身份验证的用户授予成员资格或默认组织角色。
在Federation Management Console中: