联合身份验证的高级选项
您可以在联合身份验证实例中配置高级选项, 以便更好地控制联邦用户和身份验证流程。
必需的访问权限
如需管理联合身份验证,必须拥有 Organization Owner 访问权限,能够访问一个或多个将联合设置委托给实例的组织。
联合管理控制台
您可以通过 Federation Management Console 管理联合身份验证。
要打开Federation Management Console :
在 Atlas 中,前往 Organization Settings 页面。
如果尚未显示,组织从导航栏中的Organizations菜单。
单击 Organizations 菜单旁边的 Organization Settings 图标。
显示“组织设置”页面。
为组织指定默认用户角色
您可以将 Atlas 配置为自动为每个通过IdP进行身份验证的用户提供映射组织中的默认角色。 您可以为不同的组织选择不同的角色。
注意
所选角色仅适用于通过 IdP 进行身份验证的用户,前提是他们在组织中还没有角色。
按域限制对组织的访问
您可以指定已批准的域列表,防止域外用户访问组织。使用此列表,可为组织定义已批准的域列表,而无需将这些域直接映射到 IdP。
重要
Considerations
启用Restrict Access by Domain选项后:
您只能邀请电子邮件地址在已批准的域列表中的新用户加入组织。
组织中已存在的用户,如果用户名不包含已批准列表中的域,则不会限制对组织的访问。
任何映射到 IdP 的域都会自动添加到已批准列表。
在Federation Management Console中:
将域添加到已批准列表。
要将域添加到已批准列表,您可以:
单击 Add Domains from Existing Members。Atlas 打开一个模态框,其中包含组织现有用户电子邮件地址的域。使用此列表,可轻松启用已是组织成员的用户的访问权限。
使用复选框选择所需的域,然后单击Add将其添加到已批准列表。
单击 Add Domains。Atlas 打开一个模态框,您可以在其中手动将域添加到已批准列表。
在输入框中输入要批准的域,然后单击Add 。 对每个要批准的域重复此进程。
注意
如果您对联邦的用户成员资格进行限制,则当您添加的域被用于访问联邦之外的组织时,Atlas 就会发出警告。
添加所有所需的域后,单击Submit 。
绕过 SAML 模式
Bypass SAML Mode提供了一个登录URL ,可绕过联合身份验证,而允许您使用 Atlas 档案进行身份验证。
如果您的联合身份验证设置未正确配置,您可能无法通过IdP登录 Atlas。 Bypass SAML Mode URL有助于防止您被锁定在 Atlas 组织之外。 在配置和测试IdP时,我们建议您记下Bypass SAML Mode URL,以确保您可以登录 Atlas 并正确配置联合身份验证设置。
每个Bypass SAML Mode URL都与一个单独的IdP关联,并对应于 IdP 的Login URL 。
Bypass SAML Mode 在默认情况下启用, 但在确信已正确配置联合身份验证后,作为一种安全措施, 您可能希望禁用此模式。
要设置Bypass SAML Mode ,请在Federation Management Console中:
启用Bypass SAML Mode后登录
启用Bypass SAML Mode后,您必须使用以下方式登录Atlas :
IdP Bypass SAML Mode的 URL 。
用户名:
包含映射到 IdP 的域。
在配置联合身份验证之前,您已使用此用户名登录 Atlas 或 Cloud Manager。
将用户成员资格限制为联合
您可以防止联合身份验证实例中的用户创建新组织 或使用其凭据访问联邦之外的组织。 配置此设置可完全 控制联邦用户,并有助于确保联邦用户只能访问所需的 Atlas 组织。
重要
此设置适用于整个联合,包括联合内的所有身份提供程序和组织。
Considerations
启用此设置后:
任何联合身份验证实例的用户都不能访问联邦之外的组织。
同样,任何联邦用户都不能接受或接收关于加入联邦之外组织的邀请。
联合中具有
Organization Owner角色的用户仍可创建新组织。 这些新组织会自动连接到您的联邦。联邦中没有
Organization Owner角色的用户无法创建任何新组织。联邦用户保留其在成员资格受到限制之前对任何组织的访问权限。
步骤
在Federation Management Console中: