您可以设置 Control Room 来处理外部用户身份验证并管理身份服务。 本节提供了有关如何在身份提供商 (IdP) 中将 Control Room 配置为服务提供商的信息

先决条件

  • 此操作由在 IdP 上具有必要权限的管理员执行。
  • 请与您的网络团队确认,以启用 Control Room 与 IdP 之间的通信。

过程

  1. 在 IdP 上创建应用程序,将 Control Room 配置为服务提供商。
    有关常用身份验证的信息,请参阅 Automation 360 - Change control room authentication to SAML based SSO
  2. 将 SAML Assertion Consumer Service 或服务提供商 URL 设置为 <Enterprise Control Room URL>/v1/authentication/saml/assertion
    注: 确保不要为单次注销 (SLO) 配置 SAML 断言。
  3. 配置您创建的应用程序,映射到 IdP 中定义的关键用户属性,以便在 Control Room 中使用。
    关键属性包括: UserIDFirstNameLastNameEmailAddress

    这些值是身份验证工作流所必需的。

    重要: 确保正确定义 Control Room 的关键属性,以便配置正常运行。 有关 IdP 配置示例,请参阅 示例: 为 Control Room 配置 IdP 应用程序
  4. 为用户提供访问在 IdP 上创建的应用程序的权限。
    注:
    • 下载 IdP 元数据并与 Control Room 管理员共享,以设置 Control Room
    • SAML 断言包括身份验证声明,其中必须包括 SessionIndex 属性。 根据 SAML 规范,断言 ID 用作会话索引。 SessionIndex 属性的目的是为了确定在 SAML 注销期间要注销的会话。
      <saml2:AuthnStatement AuthnInstant="authenticated_instance" SessionIndex="index_value_required">
    • 在 IdP 中创建一个用户,以匹配您的其中一位 Control Room 管理员用户。 该用户对 Control Room 配置进行测试,作为配置的最后一步。 我们建议您不要使用非管理员 Control Room 用户访问权限来测试 SAML 登录,否则您可能会面临 Control Room 没有管理员用户的风险。

后续步骤

在 Control Room 上设置 SAML 身份验证