通过 Okta 的 SAML

本指南将引导您将 Okta 配置为 Ostorlab 的 SAML SSO 身份提供商 (IdP)。

先决条件

注意： 以下屏幕截图使用的是 Okta Classic UI。您可以通过单击屏幕右上角的齿轮图标切换到该 UI。

第一步是创建一个新的 Okta 应用程序集成 (Okta Application Integration)。在各种可用的“登录方法 (sign on methods)”中，选择 SAML 2.0。

第一步是创建一个新的 Okta 应用程序集成。

Okta Application Integration

在各种可用的“登录方法”中，选择 SAML 2.0。

Choose SAML 2.0

接下来，您将通过向导来配置 Okta 应用程序。

第一步是为其指定名称和图标。

Name and Icon

然后单击 Next。

Click Next

下一步是配置 SAML 应用程序的设置。

警告： 您需要使用的值取决于您的 Ostorlab 组织前缀。请务必将 <organisation_prefix> 替换为您实际的组织前缀。

SAML 设置	值
Single Sign-on URL	`https://api.ostorlab.co/saml/acs/?org=<organisation_prefix>`
Audience URI	`https://api.ostorlab.co/saml/metadata/`
Default Relay State	空
Name ID Format	EmailAddress 或 Persistent
App username	Email

重要提示： 一旦您的用户开始使用 Ostorlab，请勿更改 Name ID Format 的值——甚至不要在 EmailAddress 和 Persistent 之间切换其值。

SAML Settings

此外，您可以选择提供两个属性声明 (attribute statements)，以便使用其 Okta 凭据登录的用户拥有正确的用户名。

Attribute Statements

单击 Next。

Click Next

在 Okta 中创建 Ostorlab SAML 应用程序后，下一步是为其分配用户。这将授予特定用户或组访问权限，使其可以使用 Okta 提供的凭据登录 Ostorlab。

要将用户或组分配给该应用程序，请导航到应用程序页面上的“Assignments”选项卡，然后选择分配。

Assignments Tab

最后一步是使用有关您的新 Okta SAML 应用程序的详细信息配置 Ostorlab。

为此，您需要从 Okta 获取 IdP 信息，然后将其提供给 Ostorlab。

首先，导航到应用程序页面上的“Sign On”选项卡。

Sign On Tab

您将需要的字段是 Sign on URL、Sign out URL、Issuer 和 Signing Certificate。

IDP Information

接下来，在您的 ostorlab 仪表板中，单击 menu 按钮。

Menu Button

选择 Integrations/API 展开，然后选择 Integrations。

Choose Integrations 选择 SAML。

Choose SAML

选择 CONFIGURATION 并将 IdP 信息粘贴到相应的字段中。

然后选择 Save。

Save Configuration

现在您可以登录 Ostorlab 了。