IdP 组映射
- Updated: 2025/04/30
当您将 Control Room 与您的身份提供商 (IdP) 集成时,您在 IdP 中的用户账户会自动在 Control Room 中配置。
重要: 在 Control Room 中配置 IdP 组映射并在 Control Room 中启用 SAML 自动用户账户配置选项后,用户、角色和许可证仅通过在 Control Room 中配置的 IdP 组映射进行管理。 因此,请确保您至少有一个 IdP 组映射在 Control Room 中分配了角色,该角色使用管理设置和管理角色权限。 负责管理 Control Room IdP 组映射的用户必须被分配到此角色。 如果在 Control Room 中不存在这样的 IdP 组映射,将没有用户能够管理 Control Room IdP组映射。
请参阅 创建 IdP 组映射 | 启用 SAML 自动用户账户预配。
注: 此功能需要企业平台许可证。 有关此功能支持版本的信息,请参阅 Enterprise Platform。
Control Room 管理员在 Control Room 中执行以下任务,以便客户管理的 IdP 用户账户可以自动配置:- 在 Control Room 中创建 IdP 组映射。
- 将角色分配给 Control Room 中的 IdP 组映射。
- 将许可证分配给 Control Room 中的 IdP 组映射。
无论您的 IdP 是否具有以下配置之一,IdP 用户账户都会根据 Control Room 管理员配置的 IdP 组映射自动在 Control Room 中进行配置:
- 您已有 IdP 用户组。
- 您已更新现有的 IdP 用户组。
- 您已创建新的 IdP 用户组。
当 IdP 用户的 IdP 用户账户映射到 Control Room 中的 IdP 组映射时,登录到 Control Room,Control Room 验证用户信息并相应地管理用户信息。 用户信息的任何更改都会自动更新在 Control Room 中的 IdP 用户。
以下是 IdP 组映射的工作流:
- 在客户管理的 IdP 中,用户组已在逻辑上得到管理。
- Control Room 管理员创建 IdP 组映射并分配角色和许可证。 请参阅 创建 IdP 组映射。
- Control Room 管理员启用自动用户账户配置。 请参阅 启用 SAML 自动用户账户预配。
- IdP 用户使用单点登录 (SSO) 登录到 Control Room。 包含用户详细信息的 IdP SAML 断言从 IdP 发送到 Control Room。
-
Control Room 使用在 Control Room 中配置的 IdP 组映射验证 IdP SAML 断言,并执行以下操作:
- 如果用户在 Control Room 中不存在,则使用 IdP SAML 断言中包含的属性创建用户,并根据 IdP 组映射配置来分配角色和许可证。
- 如果用户已经存在于 Control Room 并且处于活跃状态,Control Room 会验证 IdP SAML 断言,以识别用户信息、角色、许可证的任何更改,并相应地更新用户信息。
- 如果用户已存在于 Control Room 且处于非活跃状态,Control Room 将启用该用户,验证 IdP SAML 断言以识别用户信息、角色、许可证的任何更改,并相应地更新用户信息。
当用户属于多个 IdP 用户组,并且在 Control Room 中创建了具有不同角色和许可证的相应 IdP 组映射时,会出现以下行为:
- 用户被分配了 IdP 组映射中的角色组合。
- 根据许可证分配顺序偏好,只为用户分配一个许可证。 请参阅 配置许可证顺序优先级。
注: IdP 管理员必须确保将 Control Room 属性名称映射到其 IdP 属性名称,以便在用户授权期间将所需信息包含在从 IdP 发送到 Control Room 的 IdP SAML 断言中。 请参阅 IdP 组映射示例。