单点登录疑难解答

帮助!单点登录 (SS0) 已启用,但配置错误,我无法重新登录

由于操纵出错、基础结构发生变化或只是证书已过期,您可以会被 Shotgun 站点锁定。

对于 Shotgun 管理员,存在使用旧用户名和密码机制的备用登录流。只有管理员可以使用此方式,并且只是用于解决配置问题,不可用于与站点交互进行制作活动。

Shotgun 登录
Shotgun 登录

在页面底部,找到“Site Administration”链接,单击此链接将显示旧的登录图形用户界面 (GUI)。如果在 SSO 已启用的情况下创建了用户,将没有与相应用户关联的密码。在这种情况下,可以单击“忘记登录名或密码”(Forgot login or password)链接来设置密码。

如果仍无法连接到站点,请联系 Shotgun 支持

我有组织外的 Shotgun 用户

如果您的用户的地理位置在您的办公室之外,则需要能够从您的 Intranet 外部访问您的身份提供程序 (IdP) 服务器。IP 白名单解决方案可限制对 IdP 的访问,但这也不利于方便地访问 Shotgun 服务器。

如果您外包了一些工作或依赖于外部供应商,则必须将这些贡献者添加到您的 IdP 系统中。SSO 处于启用状态时,所有用户都需要通过 SSO 进行身份认证。

将这些贡献者添加到您的 IdP 中可能会导致他们有多个电子邮件地址:他们的原始电子邮件地址以及另一个使用您组织的域的电子邮件地址。通常,IdP 只知道您组织的域,而您可能希望 Shotgun 使用外部地址。

假定 Shotgun 管理员创建了用户,且当前使用外部电子邮件通知用户,您想要防止 Shotgun 使用 IdP 提供的电子邮件地址更新该电子邮件地址。为此,您需要使用 Ignore some fields in update 选项以及电子邮件令牌。

我的一些用户偶尔无法连接到 Shotgun

如果用户抱怨其对 Shotgun 的访问时断时续,首先要查看服务器和客户端计算机上的时钟设置。两个 UTC 时间戳之间的时钟偏差可能是问题所在,因为 SAML 声明定义为对一套时间有效。

如果您有在服务器上或在用户的计算机上运行的浏览器,请尝试使用 https://time.is 检查时钟偏差。

用户错误地创建了第二个帐户

可能在首次连接 Shotgun 站点时,用户可能创建了新帐户,而不是链接其现有帐户。

如果在此操纵后您很快收到通知,且没有使用该新用户进行任何工作,则可以快速解决问题:

  1. 要求用户注销 Shotgun。
  2. 在站点的“人员”(People)页面中查找新的重复用户,并记下其“登录名”(login)字段值。
  3. 找到应链接的原始 Shotgun 帐户。
  4. 使用步骤 2 中的值编辑帐户的“单点登录方式的登录”(Single Sign-On Login)字段。
  5. 将新用户发送到垃圾桶。
  6. 要求用户重新登录。他们现在应使用其原始用户。

如果仍存在问题,请联系 Shotgun 支持

如果没有立即发现问题,且新用户处于活动状态有一段时间,并被授予访问项目的权限:

解决方案是将旧帐户和新帐户合并到旧帐户。这将保留所有链接、历史记录和其他重要元数据。遗憾的是,Shotgun 管理员不能合并帐户。您需要:

  1. 联系 Shotgun 支持,因为他们有用于合并帐户的工具。
  2. 告知支持何时执行合并,要在一个没有其他用户正在访问 Shotgun 的时间。这是因为合并帐户时,将阻止其他用户访问数据库。

我在配置 IdP 时遇到困难/用户无法连接到 Shotgun

第一步是确保您的 IdP 将所有所需信息正确发送到 Shotgun。Chrome 和 Firefox 提供用于查看发送到 Shotgun 的 SAML 有效负载的插件和附加模块。使用这些工具可确保所有声明(login_idfirstnamelastnameemailaccess和(可选)groups)都存在。

下面是我们使用的一些插件(非详尽列表):

  • SAML Tracer (Firefox)
  • SAML Message Decoder (Chrome)
  • SAML DevTools 扩展 (Chrome)

如果 SAML 内容看起来一切正常,则仔细检查 IdP 配置。复制并粘贴 URL,而不是键入 URL,然后仔细检查手动输入的任何值。

您也可以打开支持工单并提交给我们,以便我们可以深入查看 Shotgun 服务器日志以发现任何有用的信息。

要了解更多信息,请参见 Shotgun 中的单点登录 (SSO):管理员手册单点登录配置

关注

0 评论

登录写评论。