单点登录 (SSO) 疑难解答

帮助!单点登录 (SS0) 已启用,但配置错误,我无法重新登录

由于操作出错、基础结构发生变化或证书已过期,您可以会被 Shotgun 站点锁定。

对于 Shotgun 管理员,有一个使用旧用户名和密码机制的备用登录流。只有管理员可以使用此方式,并且只是用于解决配置问题,不可用于与生产站点进行交互。

Shotgun 登录
Shotgun 登录

在页面底部,找到“Site Administration”链接,单击此链接将显示旧的登录图形用户界面 (GUI)。如果在启用 SSO 的情况下创建了用户,则不会有与您的用户关联的密码。在这种情况下,可以单击“忘记登录名或密码”(Forgot login or password)链接来设置密码。

如果仍无法连接到站点,请联系 Shotgun 支持

我有组织外的 Shotgun 用户

如果您的用户的地理位置在您的办公室之外,则需要能够从您的 Intranet 外部访问您的身份提供程序 (IdP) 服务器。IP 白名单解决方案可限制对 IdP 的访问,但这也不利于便捷地访问 Shotgun 服务器。

如果您外包了一些工作或依赖于外部供应商,则必须将这些贡献者添加到您的 IdP 系统中。SSO 处于启用状态时,所有用户都需要通过 SSO 进行身份认证。

将这些贡献者添加到您的 IdP 中可能会导致他们有多个电子邮件地址:他们的原始电子邮件地址以及使用您组织的域的电子邮件地址。通常,IdP 只知道您组织的域,而您可能希望 Shotgun 使用外部地址。

假定 Shotgun 管理员创建了用户,且当前使用外部电子邮件通知用户,则需要阻止 Shotgun 使用 IdP 提供的电子邮件地址更新该电子邮件地址。为此,您需要使用在更新中忽略某些字段选项以及 email 令牌。

我的一些用户偶尔无法连接到 Shotgun

如果用户抱怨其对 Shotgun 的访问时断时续,首先要查看服务器和客户端计算机上的时钟设置。两个 UTC 时间戳之间的时钟偏差可能是问题所在,因为 SAML 声明定义为对一组时间有效。

如果您有在服务器或用户计算机上运行的浏览器,请尝试使用 https://time.is 检查时钟偏差。

用户错误地创建了第二个帐户

可能在首次连接到 Shotgun 站点时,用户创建了新帐户,而不是链接其现有帐户。

如果在此操作后很快收到通知,且没有使用该新用户执行任何操作,则可以快速解决问题:

  1. 要求用户注销 Shotgun。
  2. 在站点的“人员”(People)页面中查找新的重复用户,并记下其“登录名”(login)字段值。
  3. 找到应链接的原始 Shotgun 帐户。
  4. 使用步骤 2 中的值编辑帐户的“单点登录方式的登录”(Single Sign-On Login)字段。
  5. 将新用户发送到垃圾桶。
  6. 要求用户重新登录。他们现在应使用其原始用户。

如果仍存在问题,请联系 Shotgun 支持

如果没有立即发现问题,且新用户处于激活状态有一段时间了,并被授予访问项目的权限:

解决方案是将旧帐户和新帐户合并到旧帐户。这将保留所有链接、历史记录和其他重要元数据。遗憾的是,Shotgun 管理员无法合并帐户。您需要:

  1. 联系 Shotgun 支持,因为他们有用于合并帐户的工具。
  2. 告知支持人员何时执行合并,要在一个没有其他用户正在访问 Shotgun 的时间。这是因为合并帐户时,将阻止其他用户访问数据库。

我在配置 IdP 时遇到问题/用户无法连接到 Shotgun

第一步是确保您的 IdP 将所有必需信息正确发送到 Shotgun。Chrome 和 Firefox 提供用于查看发送到 Shotgun 的 SAML 有效负载的插件和附加模块。使用这些工具可确保所有声明(login_idfirstnamelastnameemailaccess和(可选)groups)都存在。

下面是我们使用的一些插件(非详尽列表):

  • SAML Tracer (Firefox)
  • SAML Message Decoder (Chrome)
  • SAML DevTools extension (Chrome)

如果 SAML 内容看起来一切正常,请再次检查 IdP 配置。复制并粘贴 URL,而不是键入 URL,然后再次检查手动输入的任何值。

您也可以打开支持工单并提交给我们,以便我们可以深入查看 Shotgun 服务器日志以发现任何有用的信息。

要了解更多信息,请参见 Shotgun 中的单点登录 (SSO):管理员手册单点登录配置

关注

0 评论

登录写评论。