Opções avançadas para autenticação federada
Nesta página
Você pode configurar as opções avançadas na instância da Autenticação federada para ter maior controle sobre os usuários federados e o fluxo de autenticação .
Acesso necessário
Para gerenciar a autenticação federada, você deve ter acesso de Organization Owner
a uma ou mais organizações que delegam configurações de federação à instância.
Console de Gerenciamento de Federação
Você pode gerenciar a autenticação federada a partir do Federation Management Console.
Para abrir o Federation Management Console:
No Atlas, acesse a página Organization Settings.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
É exibida a página Configurações da organização.
Atribuir uma função de usuário padrão para uma organização
Você pode configurar o Atlas para provisionar automaticamente cada usuário que se autenticar por meio doIdP com uma função padrão em uma organização mapeada. Você pode selecionar funções diferentes para organizações diferentes.
Observação
A função selecionada só se aplica aos usuários que se autenticam por meio do IdP caso ainda não tenham uma função na organização.
Restringir acesso a uma organização por domínio
Você pode especificar uma lista de domínios aprovados para impedir que usuários fora desses domínios acessem a sua organização. Use esta lista para definir uma lista de domínios aprovados para sua organização sem precisar mapear diretamente esses domínios para seu IdP.
Importante
Considerações
Após habilitar a opção Restrict Access by Domain :
Somente é permitido convidar para participar da sua organização novos usuários cujos endereços de e-mail estão na lista de domínios aprovados.
Os usuários que já estão na sua organização cujos nomes de usuário não contêm um domínio na lista aprovada não têm acesso restrito à sua organização.
Todos os domínios mapeados para o seu IdP são automaticamente adicionados à lista aprovada.
A partir do Federation Management Console:
Adicione domínios à lista aprovada.
Para adicionar domínios à lista aprovada, você pode:
Clique em Add Domains from Existing Members. O Atlas abre um modal contendo domínios de endereços de e-mail de usuários existentes na sua organização. Use esta lista para habilitar facilmente o acesso para usuários que já fazem parte da sua organização.
Use as caixas de seleção para selecionar os domínios desejados e clique em Add para adicioná-los à lista aprovada.
Clique em Add Domains. O Atlas abre um modal onde é possível adicionar domínios manualmente à lista aprovada.
Insira o domínio que você deseja aprovar na caixa de entrada e clique em Add. Repita este processo para cada domínio que você deseja aprovar.
Observação
Se você tiver restringido a associação de usuários à sua federação, o Atlas avisa se você adicionar um domínio que está sendo usado para acessar organizações fora da sua federação.
Após adicionar todos os domínios desejados, clique em Submit.
Ignorar modo SAML
Bypass SAML Mode fornece um URL de login que ignora sua autenticação federada e, em vez disso, permite que você autentique com suas credenciais do Atlas.
If your Federated Authentication settings are not properly configured, you may not be able to log in to Atlas through your IdP. O URL do Bypass SAML Mode ajuda a impedir que você seja impedido de entrar na sua organização do Atlas. Ao configurar e testar seu IdP, recomendamos que anote o URL Bypass SAML Mode para garantir que pode se conectar ao Atlas e configurar corretamente as configurações de autenticação federada.
Cada URL Bypass SAML Mode está associada a um IdP individual e corresponde ao Login URL do IdP.
Bypass SAML Mode é ativado por padrão, no entanto, você pode optar por desativá-lo como medida de segurança se tiver certeza de que configurou corretamente a sua autenticação federada.
Para definir Bypass SAML Mode, a partir do Federation Management Console:
Faça login após habilitar Bypass SAML Mode
Após habilitar o Bypass SAML Mode, você deve iniciar sessão no Atlas utilizando:
O URL do Bypass SAML Mode para seu IdP.
Um nome de usuário que:
Contém o domínio que você mapeou para o seu IdP.
Você usou para entrar no Atlas ou Cloud Manager antes de configurar a Autenticação federada.
Restringir a adesão de usuários à Federação
Você pode impedir que os usuários em sua instância de autenticação federada criem novas organizações ou usem suas credenciais para acessar organizações fora da federação. Ajuste esta configuração para ter controle total de seus usuários federados e para ajudar a garantir que os usuários federados tenham acesso somente às organizações desejadas do Atlas.
Importante
Esta configuração se aplica a toda a federação, incluindo todos os Fornecedores de Identidade e Organizações dentro da federação.
Considerações
Depois de habilitar essa configuração:
Nenhum usuário em sua instância de autenticação federada conseguirá ter acesso a organizações fora da sua federação.
Da mesma forma, nenhum usuário federado pode aceitar ou receber convites para ingressar em organizações fora da sua federação.
Os usuários na sua federação com a função
Organization Owner
ainda podem criar novas organizações. Estas novas organizações são automaticamente conectadas à sua federação.Os usuários em sua federação sem a função
Organization Owner
não podem criar novas organizações.Os usuários em sua federação têm acesso a todas as organizações a que tinham acesso antes da restrição de associação.
Procedimento
A partir do Federation Management Console:
Visualizar conflitos de usuários
Se a sua federação contiver usuários que pertencem a organizações de fora da sua federação, o Atlas exibirá um cartaz de aviso. Para revisar os usuários conflitantes, clique em View User Conflicts.
O Atlas exibe um modal com uma lista de usuários que entram em conflito com a restrição de federação. Avalie a possibilidade de entrar em contato com esses usuários para informá-los sobre a restrição.