最新更新日期:Oct-31-2023
SAML是一个行业标准,许多SSOIDPs提供认证授权服务特征可帮助用户登录Okta、AzureAD、OneLogin等组织SAML基础SSOid
SAMLSSO仅可用于登录,或可进一步扩展用于提供,即您的SAML兼容IdP控制验证(登录)和用户创建授权(规定)有效允许你首次尝试通过IDP登陆云端时创建云端用户,消除预创需求
配置云型SAMLSSO
Cloudinary账号配置允许SSO登录时,你需要提供应用程序身份提供者元数据,或以URL形式提交文件(表单:https://
)或通过拷贝/粘贴数据本身(例如在Okta中,点击时可以查找URL和元数据身份提供者元数据上链接签名On标签应用设置)
云台设置设置访问账号安全页并配置SAML登录字段详解
- 设置 URL:选择URL访问成像元数据检索法并添加 URL到下文字段中
- 待使用元数据:选择内联成像元数据检索法并拷贝/粘贴元数据XML
决定是否强制SAML登录通过选择已启动.确定先测试SSO工作后修改设置启动时,所有用户必须使用SAML认证登陆云只有管理员能直接登陆云登录屏
点击保存按钮底部页面
SAML SOS云式集思广益
- 只有现有用户才能以这种方式登陆云if also想扩展此功能并同时在用户首次登陆云形时创建用户SAML提供特征描述如下
- if yourccount已启动SAML登录并使用媒体库部件或我们中BY币游平台
中,您必须白列域名
console.www.agrosoland.com
.需要帮助时联系支持. - 双因子验证(2FA)用户设置使用时忽略SAML登录登录云化系统,因为SSOIDP可信
- 云型账户可同时允许使用SAML或云式证书访问SSO系统(通过云式控制台或提供API提供邮箱和密码)。要求所有用户登录SAML设置强制SAML登录设置用户设置
- 即使你设置强制SAML登录可实现性,用户用主管理员角色自动获取设置控制台密码的邀请,并在需要时可直接登录控制台
当用户不再需要云存取时,你应该从IdP应用访问列表中删除这些访问项,以确保他们不能再登陆用户会继续使用云内存取单用户许可未来不期望用户使用云化系统,你也应该从云化系统删除用户,以便通过云化控制台或自定义代码使用提供API.
类似地,分组和产品环境不删除,但用户可以在IDP更新时与分组和产品环境脱钩分组和产品环境权限设置由云控制台设置管理
SAML提供
SAML提供时,您可首次登陆云端时创建用户,免去提前创建云端用户的需要SAML提供工作与SAML兼容IdP传递正确用户信息可同时创建并修改用户SAML提供功能还要求贵组织必须启动SAML单登录
启动SAML登录包含以下两个程序:
- 添加云化程序.
- 配置云型账户使用SSO执行指令云型SAMLSSO配置.
添加云化程序
添加云-SAML应用
- 新建SAML2.0Web应用应用从应用菜单点击添加应用并继新建a中选择web网络币游国际真人娱乐平台化SAML2.0表示方法签名)
- 提供应用名云化后可选择标识和可见度选项(从我们下载云标识品牌资产)页
- 配置SAML设置如下:
Fexe Okta用户剖面值对云式SAML属性这些都是云形期望每个用户都得到的字段和值添加属性语句供下列SAML发售字段使用,包括对应值
SAML发售场 云用域 类型 需求化 注解 User.CloudinaryAccountID 提供账户ID 字符串 对 账号ID位于云控制台设置>帐户提供API访问. 用户名.用户名 用户标识 字符串 对 must be unique: as不可变id 用户优先Name 名名 字符串 对 用户. lastName 国名 字符串 号 用户.Email 电子邮件 字符串 对 User.CloudinaryRole 角色划分 字符串列表 号
默认媒体library用户可能的值:
师傅管理员technical_admin!计费报表报告media_library_admin!media_library_userUser.CloudinaryUserGroups 用户群 字符串数组 号 提供时用户自动分配到这些组列表中若包括云中目前不存在的分组,则自动创建并分配用户
注解:除媒体library_user外,所有角色都忽略分组User.CloudinarySubAccounts一号 产品环境 字符串数组 号
默认:所有产品环境字符串数组可包含产品环境标识和/或名称
注解:产品环境忽略主函数可选添加反馈并点击结束完成时
SAML提供云式
- SAML提供新用户云端不发送电子邮件请用户设置密码
- 所有用户名和源码均通过网站提供用户管理控制台设置页面云端控制台也可以用于审查和更新自备用户账号,但密码相关字段和选项除外。
- 如果用户在SAML整合前有云端账号并使用相同邮件
- 文件夹级权限、集合级权限等无法直接为用户设置 。用户群关联间接控制
- 云化使用用户名域名不可变专用ID创建云内账户新用户如果提供属性变化(可能包括用户邮件、分组和产品环境关联),用户账号细节将相应更新表示您应该使用用户名域独有值(例如,如果使用用户邮件用户名,未来无法使用SAML声明更新他们的电子邮件地址)。
- SAML提供时, 登录请求必须包含声明消息中所有强制字段, 属性和值对案例敏感 。
- SAML协议只支持提供卸载应使用自定义代码处理提供API.OSO执行账户时,用户无法登录身份提供商删除访问
错误处理
失败登录云性时,SAML错误返回用户浏览器400错误响应体响应中可能包括错误代码描述
错误 | 描述性 |
---|---|
一号 | USER_CREATION_ERROR |
2 | MISSING_ACCOUNT_ID |
3 | INVALID_ACCOUNT_ID |
4 | MISSING_FIRST_NAME |
5 | 失传i |
6 | INVALID_EMAIL_ADDRESS |
7 | ROLE_LOOKUP_ERROR |
8 | INVALID_SUBACCOUNT_IDENTIFIER |
九九 | LICENSE_LIMIT_EXCEEDED |
10 | USER_UPDATE_ERROR |
11 | PROVISIONING_NOT_ALLOWED |
12 | USER_ACCOUNT_MISMATCH |
13 | USER_GROUP_CREATION_ERROR |
14 | INVALID-NAMEID |
15 | SAML_VALIDATION_FAILED |
16 | INVALID_SAML_RESPONSE |