通过 Google Workspace 的 SAML
本指南将引导您将 Google Workspace(以前称为 G Suite)配置为 Ostorlab 的 SAML SSO 身份提供商 (IdP)。
先决条件
配置 Google Workspace
将自定义 SAML 应用程序添加到您的 Google 管理员帐户
-
在 Google 管理控制台 (Google Admin Console) 中,导航到侧边栏菜单。选择 Apps,然后选择 Web and mobile apps。
-
选择 Add App,然后选择 Add custom SAML app。
-
在 App details 页面上,输入 Ostorlab 作为应用程序名称。
使用 Google 详细信息配置 Ostorlab
Google Identity Provider details 页面提供了配置 Ostorlab 组织所需的信息。
您将需要下载或复制 Google Identity Provider details 页面上的信息。
确保存妥此信息并转到 SAML 集成页面 https://report.ostorlab.co/integrations/saml
并切换到配置选项卡。
1. 将 Identity Provider Entity ID 输入为 Idp Identifier
2. 并将 Sign-On Service URL 输入为 SAML 2.0 Endpoint。
3. 请务必选择 urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST 作为 Sign-On Service Binding。
4. 将您的证书内容粘贴到 X.509 Certificate 字段中。
5. 单击 Save。
使用 Ostorlab 应用程序详细信息配置 Google
在 Google Identity Provider details 页面上单击 Continue 后。Service provider details 页面将提示您输入有关 Ostorlab 应用程序的信息。
您需要使用的值取决于您的 Ostorlab 组织前缀。请务必将
<os>替换为您实际的组织前缀。
使用以下值填写详细信息页面:
| SAML 设置 | 值 |
|---|---|
| Entity ID | https://api.ostorlab.co/saml/metadata/ |
| ACS URL | https://api.ostorlab.co/saml/acs/?org=<organisation_prefix> |
| Start URL | 空 |
| Name ID format | |
| Name ID | Basic Information > Primary email |
重要提示: 一旦您的用户开始使用 Ostorlab,请勿更改 Name ID Format 的值——甚至不要切换其值。
单击 Continue。
您将转到 Attribute mapping 页面。 您可以选择 Google 将哪些配置属性发送到您的 Ostorlab 应用程序,以便使用其凭据登录的用户拥有正确的用户名。 选择“Add mapping”并添加“First Name”和“Last Name”映射。
单击 Finish。Ostorlab 应用程序现已注册到 Google Workspace,并且已使用您的应用程序的详细信息配置了 Ostorlab。
启用应用程序的登录访问权限
将自定义 SAML 应用程序添加到 Google Workspace 后,最后一步是将用户的服务状态更改为将应用程序开启“ON”。这将为您的成员提供登录 Ostorlab 应用程序的适当访问级别。
在新 Ostorlab 应用程序的 Google 管理控制台页面上:
1. 选择 User access 并将应用程序设置为 ON。
使用 Google Workspace 登录 Ostorlab
创建 Google Workspace 应用程序并将其配置数据传递给 Ostorlab 后,您现在可以使用 SAML SSO 凭据登录 Ostorlab。
导航到 https://report.ostorlab.co/account/login,单击 LOGIN VIA SSO 并输入您的 Ostorlab 组织前缀。如果配置正确,系统会提示您登录 Google Workspace 帐户,然后立即重定向回 Ostorlab。