SAMLSSO

最新更新日期:Oct-31-2023

SAML是一个行业标准,许多SSOIDPs提供认证授权服务特征可帮助用户登录Okta、AzureAD、OneLogin等组织SAML基础SSOid

SAMLSSO仅可用于登录,或可进一步扩展用于提供,即您的SAML兼容IdP控制验证(登录)和用户创建授权(规定)有效允许你首次尝试通过IDP登陆云端时创建云端用户,消除预创需求

配置云型SAMLSSO

注解
if also计划实施 SAML提供中,您应先准备该节描述的IDP,再配置Cloudinary

Cloudinary账号配置允许SSO登录时,你需要提供应用程序身份提供者元数据,或以URL形式提交文件(表单:https:// .okta.com/app/ /sso/saml/metadata )或通过拷贝/粘贴数据本身(例如在Okta中,点击时可以查找URL和元数据身份提供者元数据上链接签名On标签应用设置)

  1. 云台设置设置访问账号安全页并配置SAML登录字段详解

    • 设置 URL:选择URL访问成像元数据检索法并添加 URL到下文字段中
    • 待使用元数据:选择内联成像元数据检索法并拷贝/粘贴元数据XML
  2. 决定是否强制SAML登录通过选择已启动.确定先测试SSO工作后修改设置启动时,所有用户必须使用SAML认证登陆云只有管理员能直接登陆云登录屏

  3. 点击保存按钮底部页面

SAML SOS云式集思广益

  • 只有现有用户才能以这种方式登陆云if also想扩展此功能并同时在用户首次登陆云形时创建用户SAML提供特征描述如下
  • if yourccount已启动SAML登录使用媒体库部件或我们中整合中,您必须白列域名console.www.aaaalireno.com.需要帮助时联系支持.
  • 双因子验证(2FA)用户设置使用时忽略SAML登录登录云化系统,因为SSOIDP可信
  • 云型账户可同时允许使用SAML或云式证书访问SSO系统(通过云式控制台或提供API提供邮箱和密码)。要求所有用户登录SAML设置强制SAML登录设置用户设置
  • 即使你设置强制SAML登录可实现性,用户用主管理员角色自动获取设置控制台密码的邀请,并在需要时可直接登录控制台
  • 当用户不再需要云存取时,你应该从IdP应用访问列表中删除这些访问项,以确保他们不能再登陆用户会继续使用云内存取单用户许可未来不期望用户使用云化系统,你也应该从云化系统删除用户,以便通过云化控制台或自定义代码使用提供API.

    类似地,分组和产品环境不删除,但用户可以在IDP更新时与分组和产品环境脱钩分组和产品环境权限设置由云控制台设置管理

SAML提供

SAML提供时,您可首次登陆云端时创建用户,免去提前创建云端用户的需要SAML提供工作与SAML兼容IdP传递正确用户信息可同时创建并修改用户SAML提供功能还要求贵组织必须启动SAML单登录

重要点
上头 SAML提供当前选项只对带a账户可用 企业计划并启动 请求后.

启动SAML登录包含以下两个程序:

  1. 添加云化程序.
  2. 配置云型账户使用SSO执行指令云型SAMLSSO配置.

添加云化程序

注解
云化解决方案架构师可帮助你部署此特征联系客户成功管理器协调

添加云-SAML应用

注解
下指令使用 玉田市以配置为例,尽管你可使用符合SAML身份提供商(流介IdP互异)。
  1. 新建SAML2.0Web应用应用应用菜单点击添加应用并继新建a中选择web网络贝斯特2200娱乐平台化SAML2.0表示方法签名)

    SAML

  2. 提供应用名云化后可选择标识和可见度选项(从我们下载云标识品牌资产)页SAML
  3. 配置SAML设置如下:
    1. 输入//www.aaaalireno.com/saml/consumeURL单标志收件者URL和目的地URL
    2. 输入//www.aaaalireno.com/saml收听者URI
    3. 选择邮箱地址名识别格式

      SAML
  4. Fexe Okta用户剖面值对云式SAML属性这些都是云形期望每个用户都得到的字段和值添加属性语句供下列SAML发售字段使用,包括对应值

    SAML发售场 云用域 类型 需求化 注解
    User.CloudinaryAccountID 提供账户ID 字符串 账号ID位于云控制台设置>帐户提供API访问.
    用户名.用户名 用户标识 字符串 must be unique: as不可变id
    用户优先Name 名名 字符串
    用户. lastName 国名 字符串
    用户.Email 电子邮件 字符串
    User.CloudinaryRole 角色划分 字符串列表
    默认媒体library用户
    可能的值:
    师傅管理员technical_admin!计费报表报告media_library_admin!media_library_user
    User.CloudinaryUserGroups 用户群 字符串数组
    提供时用户自动分配到这些组列表中若包括云中目前不存在的分组,则自动创建并分配用户
    注解:除媒体library_user外,所有角色都忽略分组
    User.CloudinarySubAccounts一号 产品环境 字符串数组
    默认:所有产品环境
    字符串数组可包含产品环境标识和/或名称
    注解:产品环境忽略主函数

    脚注
    1. 上头产品环境前称a子账户.

    例举Okta

    SAML

  5. 可选添加反馈并点击结束完成时

重要点
并配置云型账号使用SSO执行指令 云型SAMLSSO配置.

SAML提供云式

  • SAML提供新用户云端不发送电子邮件请用户设置密码
  • 所有用户名和源码均通过网站提供用户管理控制台设置页面云端控制台也可以用于审查和更新自备用户账号,但密码相关字段和选项除外。
  • 如果用户在SAML整合前有云端账号并使用相同邮件
  • 文件夹级权限、集合级权限等无法直接为用户设置 。用户群关联间接控制
  • 云化使用用户名域名不可变专用ID创建云内账户新用户如果提供属性变化(可能包括用户邮件、分组和产品环境关联),用户账号细节将相应更新表示您应该使用用户名域独有值(例如,如果使用用户邮件用户名,未来无法使用SAML声明更新他们的电子邮件地址)。
  • SAML提供时, 登录请求必须包含声明消息中所有强制字段, 属性和值对案例敏感 。
  • SAML协议只支持提供卸载应使用自定义代码处理提供API.OSO执行账户时,用户无法登录身份提供商删除访问

错误处理

失败登录云性时,SAML错误返回用户浏览器400错误响应体响应中可能包括错误代码描述

错误 描述性
一号 USER_CREATION_ERROR
2 MISSING_ACCOUNT_ID
3 INVALID_ACCOUNT_ID
4 MISSING_FIRST_NAME
5 失传i
6 INVALID_EMAIL_ADDRESS
7 ROLE_LOOKUP_ERROR
8 INVALID_SUBACCOUNT_IDENTIFIER
九九 LICENSE_LIMIT_EXCEEDED
10 USER_UPDATE_ERROR
11 PROVISIONING_NOT_ALLOWED
12 USER_ACCOUNT_MISMATCH
13 USER_GROUP_CREATION_ERROR
14 INVALID-NAMEID
15 SAML_VALIDATION_FAILED
16 INVALID_SAML_RESPONSE

反馈发送

评分本页 :