通过 OneLogin 的 SAML
本指南将引导您将 OneLogin 配置为 Ostorlab 的 SAML SSO 身份提供商 (IdP)。
先决条件
配置 OneLogin
第一步是在 OneLogin 上创建一个新应用程序。导航到“Applications”>“Applications”。
单击“Add App”按钮为 Ostorlab 创建一个新的自定义应用程序。
搜索“SAML Custom Connector”,然后选择配置了 SAML 2.0 的 SAML Custom Connector (Advanced) 应用程序。
在随后的详细信息页面上,您可以选择将应用程序命名为“Ostorlab”并更改应用程序图标。之后,单击右上角的 Save。
这将创建新的应用程序并刷新页面,在左侧显示新选项卡。现在,导航到 Configuration 选项卡。
您需要使用适合您的 Ostorlab 组织的信息来更新此部分。
警告: 您需要使用的值取决于您的 Ostorlab 组织前缀。请务必将
<organisation_prefix>替换为您实际的组织前缀。
| SAML 设置 | 值 |
|---|---|
| Audience (EntityID) | https://api.ostorlab.co/saml/metadata/ |
| Recipient | https://api.ostorlab.co/saml/metadata/ |
| ACS (Consumer) URL | https://api.ostorlab.co/saml/acs/?org=<organisation_prefix> |
| ACS (Consumer) URL Validator | https://api.ostorlab.co/saml/acs/.* |
| Login URL | 空 |
确保匹配以下配置。
接下来,您可以选择提供参数,以便使用其 OneLogin 凭据登录的用户拥有正确的用户名。转到 Parameters 选项卡,然后添加名字 (first) 和姓氏 (last),如下所示。确保每次都选中“Include in SAML assertion”。
最后,您可以配置对此应用程序的访问权限。转到“Access”选项卡,然后为应用程序分配一个或多个角色并“Save”。
配置您的 Ostorlab 组织
要配置您的 Ostorlab 组织以接受来自 OneLogin 的 SAML SSO 请求,您将需要提供来自 OneLogin 的 Identity Provider Entity ID 和 Sign-On Service URL。
为此,请转到您刚刚创建的应用程序,然后单击 SSO 按钮。
它将显示包含您需要复制的 Entity ID 和 Sign-On Service URL 的页面。
您还需要下载 X.509 证书以提供给 Ostorlab。在“X.509 Certificate”部分标题下,单击 View Details 链接。
这将带您进入证书详细信息页面。从那里,您应该下载 .PEM 格式的 X.509 文件。
转到 SAML 集成页面 https://report.ostorlab.co/integrations/saml
并切换到配置选项卡。
1. 将复制的 Issuer URL 输入为 Idp Identifier。
2. 将复制的 SAML 2.0 Endpoint (HTTP) 输入为 SAML 2.0 Endpoint。
3. 选择 urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST 作为 Sign-On Service Binding。
4. 将您的证书内容粘贴到 X.509 Certificate 字段中。
5. 单击 Save/Update。
使用 OneLogin 登录 Ostorlab
创建 OneLogin 应用程序并将其配置数据传递给 Ostorlab 后,您现在可以使用 SAML SSO 凭据登录 Ostorlab。
导航到 https://report.ostorlab.co/account/login,单击 LOGIN VIA SSO 并输入您的 Ostorlab 组织前缀。如果配置正确,系统会提示您登录 OneLogin 帐户,然后立即重定向回 Ostorlab。