操作场景
Okta 是身份验证与访问管理解决方案提供商。腾讯云支持基于 SAML 2.0(安全断言标记语言 2.0)的联合身份验证,SAML 2.0 是许多身份验证提供商(Identity Provider, IdP)使用的一种开放标准。您可以通过基于 SAML 2.0 联合身份验证将 Okta 与腾讯云进行集成,从而实现 Okta 账户自动登录(单点登录)腾讯云控制台管理腾讯云的资源,不必为企业或组织中的每一个成员都创建一个 CAM 子用户。
操作步骤
获取 SAML 服务提供商元数据文档
1. 登录 访问管理控制台,在左侧导航栏中,单击身份提供商 > 用户 SSO,单击编辑。
2. 在 SSO 登录设置处可复制当前用户的 SAML 服务提供商(SP)元数据 URL,在浏览器打开新的标签页,粘贴链接进行查看。
说明:
您需要查看当前用户的 SAML 服务提供商(SP)元数据文件,该文件将会用于后续 Okta 应用程序创建流程,并建立 IdP 对 SP 的信任关系。
创建 Okta 应用程序
1. 登录进入 Okta 网站,
在 Okta 主页单击右上角管理员,进入管理员界面
。
2.
在管理员页面,选择 Applications,进入应用管理页面
。如下图所示:
3. 在应用管理页面,单击 Add Application,进入添加应用页面。
4. 在添加应用页面,单击 Create App Integration。如下图所示:
5. 在弹出的创建应用程序/Create a New Application Integration 窗口,选择 Platform 及 Sign-in method,其中 Sign-in method 设置为 SAML 2.0,单击 Next,如下图所示:
6. 在通用设置/General Settings 页面,补充 App name、App logo(可选)、App visibility(可选)信息,单击 Next,此应用程序可以用于和腾讯云进行集成,实现 Okta 账户自动登录(单点登录)腾讯云控制台管理腾讯云的资源。
为 Okta 应用程序配置 SAML
说明:
您可以通过本步骤将 Okta 应用程序属性映射到腾讯云的属性。
1.
在配置 SAML/Configure SAML 页面
将 General 下 Single sign-on URL (Consumer URL) 和 Audience URL (SP Entity ID) 补充为以下信息:参数 | 是否必选 | 说明 |
Audience URL(SP Entity ID) | 必选 | 下载的服务提供商元数据 XML 中,EntityDescriptor 元素的 entityID 属性值。 |
Single sign-on URL | 必选 | 下载的服务提供商元数据 XML 中,AssertionConsumerService 元素 Location 属性值。 |
2. 如您希望指定跳转到腾讯云的特定页面,您可以将 Default RelayState(可选)补充为需要指定的地址。
说明:
Single sign on URL 为跳转的腾讯云页面。如您需要指定其他页面,除配置 Default RelayState 之外,您也可使用
https://cloud.tencent.com/login/saml?s_url=xxxx 形式指定,其中 xxxx 为需要指定的地址,需要做 urlencode。但优先解析 Default RelayState 参数。3. 将 NameID format 补充为 Unspecified。
说明:
腾讯云需要通过 Username 来定位一个 CAM 用户,所以要求企业 IdP 生成的 SAML 断言包含用户的 Username。腾讯云通过解析 SAML 断言中的 NameID 元素,来匹配 CAM 用户的 Username 从而实现用户 SSO。
因此,在配置 IdP 颁发的 SAML 断言时,需要将对应 CAM 用户 Username 的字段映射为 SAML 断言中的 NameID 元素。
示例:CAM 用户名为 example@tencent.com,SAML 断言中的 NameID 取值为 example@tencent.com。
4. 单击 Next,进入反馈/Feedback 页面,选择以下信息之后单击 Finish,完成配置 CAM 操作。如下图所示:
为 Okta 应用程序配置 SAML 集成
说明:
您可以通过本步骤配置 Okta 和腾讯云之间的信任关系,使两方相互信任。
1. 登录进入 管理员界面,选择 Applications,单击您创建的应用程序名称,进入应用详情页,单击 Sign On。如下图所示:
2. 在 Sign On 页面,单击右下角 View SAML setup instructions 查看身份提供商元数据。获取 IdP 元数据后可在查看页面单击右键保存至本地。
3. 腾讯云账号登录 访问管理控制台,在左侧导航栏中,单击身份提供商 > 用户 SSO。在 SSO 登录设置处单击编辑,上传身份提供商元数据文档。
单击用户 SSO 后的开关按钮,可开启或关闭用户 SSO。
开启状态:此时 CAM 子用户不能通过账号密码的方式登录腾讯云,所有 CAM 子用户统一跳转到企业 IdP 登录页面进行身份认证。
关闭状态:此时 CAM 子用户可以通过账号密码的方式登录腾讯云,用户 SSO 设置不会生效。
身份提供商元数据文档:单击选择文件,上传企业 IdP 提供的元数据文档,上传后如需更换文件可单击重新上传。
说明:
元数据文档由企业 IdP 提供,一般为 XML 格式,包含 IdP 的登录服务地址以及 X.509 公钥证书(用于验证 IdP 所颁发的 SAML 断言的有效性)。
若企业 IdP 只提供元数据访问地址,可复制地址到浏览器打开,并保存为 XML 格式的文件后再上传。
辅助域名(可选):开启辅助域名, 可以设置一个辅助域名。
如果设置辅助域名:SAML 断言中的 NameID 元素将可以使用此辅助域名作为后缀。
如果没有设置辅助域名:SAML 断言中的 NameID 元素将只能使用当前账号的子用户名称匹配。
说明:
使用辅助域名作为 NameID 元素的后缀,即<username>@<auxiliary_domain>。其中<username>为 CAM 用户的用户名,<auxiliary_domain> 为辅助域名。
如果您设置了辅助域名,腾讯云将使用 NameID 和 UserName@辅助域名进行对比,匹配成功即可登录腾讯云。
4. 单击保存。
分配 Okta 用户
说明:
您可以通过本步骤分配用户访问权限,向 Okta 用户分配腾讯云的 SSO 访问权限。
1. 登录进入 管理员界面,单击 Directory 下的 People,进入用户管理页面。如下图所示:
2. 在用户管理页面,找到您需要授权的用户。
3. 单击用户名称,进入用户详情页,单击左上角 Assign Applications。如下图所示:
4. 在弹出的设置窗口中,单击 Assign,设置与 CAM 子用户名完全匹配的 Username 后,单击 Save and Go Back > Done,完成配置 Okta 用户操作。如下图所示:
5. 前往 应用管理页面,单击您创建的应用程序名称,进入应用详情页。选择 GENERAL,复制 App Embed Link 栏下的 EMBED LINK,登录腾讯云控制台。或单击右上角 My end user dashboard,单击应用程序,登录腾讯云控制台。
