单点登录 (SSO) 管理员概述

单点登录 (SSO) 是组织用于集中控制对应用程序和服务的访问的一种方式。请注意,Shotgun 中的 SSO 集成很重要。这项工作的一个重要环节是需要在身份提供程序 (IdP) 级别完成。作为 Shotgun 管理员,您需要与 IdP 管理员讨论以确保所需的信息以适当的格式发送过来。

要使用 SSO,必须先提交支持工单,要求与我们的上门服务团队进行入门会话。请确保您满足所有要求。

要求

为了在 Shotgun 中使用 SSO,需要满足以下条件:

  1. 享有 Super Awesome 支持。
  2. 使用支持 SAML 2.0 的 IdP。目前,以下 IdP 支持 SAML 2.0:
  • Active Directory 联合身份验证服务 (AD FS)
  • Ping Identity
  • Okta
  • OneLogin
  1. 先在临时站点上测试您的工具和工作流,然后我们才能在您的生产站点上启用 SSO。如果您没有临时站点,我们可以讨论如何为您设置一个临时站点。
  2. 与我们的上门服务团队代表进行 60 分钟的在线入门会议。Shotgun 和 SSO 管理员都需要参加此会议。此会议将仔细讨论在 Shotgun 中设置和管理 SSO 的具体细节。在继续进行设置之前,也可借此机会提出问题。

限制条件

启用 SSO 会有一些负面影响。您务必要评估 SSO 对您的生产工作流的影响。

  • SSO 是一种“全有或全无”方式:如果启用,所有人都需要使用它。如果您的公司外部有供应商或协作方,他们也需要使用 SSO。需要登录 Shotgun 的所有人必须能够访问您的 IdP。但对于客户审核,播放列表共享将仍像以前一样使用。
  • iOS 审核应用尚不支持 SSO。如果它是您的工作流中必不可少的,您将不能再使用它。
  • 如果使用的是 RV,您需要更新到版本 7.2.5 或更高版本。Mac OSX 上的 RV 尚不支持 TLS v1.2。
  • 如果使用的是 Shotgun Desktop,您需要重新安装版本 1.5.3 或更高版本。
  • 如果使用的是 Shotgun Toolkit,您需要更新到 tk-core 版本 0.18.151 或更高版本。
  • 如果您使用的是 Shotgun Python API,则将不能再仅使用用户名和密码连接到 Shotgun。您的脚本需要修改。我们的支持团队可以提供帮助和建议。
  • 如果您使用的是内部工具或第三方应用程序,则需要确保它们支持 SSO。您的工具可能需要修改。同样,我们可以提供帮助和建议。

关于用户管理的一些注意事项

虽然使用 SSO 时,用户无需重新输入其凭据,可以更加轻松地访问服务,但是 SSO 的主要优势在于提高了安全性。用户和权限集中进行管理,从而确保不应再访问 Shotgun 的员工无法进行访问。

默认情况下,Shotgun 理所当然地认为 IdP 是用户相关信息的权威参考。用户连接到 Shotgun 时,系统将 Shotgun 站点上的用户信息与 IdP 提供的信息同步。登录时,系统将自动向 IdP 对用户重新进行身份认证。如果删除了用户访问 Shotgun 的权限,则在对其重新进行身份认证时会自动使其从 Shotgun 注销。此过程大约每 4.5 分钟进行一次。

即使启用了 SSO,Shotgun 管理员仍需要管理用户。必须为用户提供访问项目的权限,可以选择管理其权限组。将现有站点过渡到 SSO 时,可能需要修改一些用户信息以确保无缝过渡。

虽然可以在 Shotgun 中进行自动配置,但这可能不是理想方式。按此方式创建的用户可能没有访问其 Shotgun 项目的适当权限,从而导致需要管理员提供支持。您可能希望像以前一样在 Shotgun 中创建用户,以便确保他们分配到正确的项目且具有适当的权限组。对 Shotgun 站点本身的访问仍在 IdP 级别进行管理。

配置

使用自动配置时,只有在用户首次连接到 Shotgun 站点时才会创建用户帐户。

不支持自动取消配置。员工离开或分配到其他项目时,应删除其访问 Shotgun 的权限。但 Shotgun 用户会一直保持现状并处于激活状态,直到管理员明确禁用其帐户。

注意:在禁用用户之前,您需要一直为其付费。

要了解更多信息,请参见单点登录配置单点登录疑难解答

关注

0 评论

登录写评论。