Okta 配置

配置 Okta 相对简单。

请注意，以下说明是作为示例提供的，可能不同于特定情况下所需的内容。

在连接到 Okta 管理门户后，转到“Applications”页面：

1. 选择“Add Application”。
    
   

2. 选择“Create New App”。
    
   

3. 创建基于 Web 的新 SAML 2.0 应用程序。
    
   

4. 为新应用程序提供名称。
    
   

5. 输入 SAML 设置。
    
       单点登录 URL(Single Sign on URL)：https://您的站点 URL/saml/saml_login_response
       受众 URI(Audience URI)：https://您的站点 URL/saml/metadata
    
   

6. 输入 SAML 属性。
   login_id
   firstname
   lastname
   email
   access（可选）
   groups（可选）
    
   您决定使用的值将取决于您的组织。
    
   请注意，在此示例中，我们将 access 硬编码为 true，因为我们要在别处控制应用程序的可用性。我们还决定添加 groups 属性，我们为其填充组成员资格列表（管理员、美工人员或经理）。用户只能属于一个组。
    
   

7. 完成配置。
    
   

8. 继续完成 Okta 配置的其余部分来确定对应用程序的访问，以及确保发送适当的属性。这将取决于您的组织以及您决定如何为属性设置值。

9. 向 Shotgun 管理员提供 SSO 配置。单击“View Setup Instructions”，并提供所示信息：
       SAML 2.0 Endpoint (HTTPS)：身份提供程序单点登录 URL
       Identity Provider Issuer：身份认证器
       Public Certificate：X.509 证书
    
   如果您下载元数据，您将需要提取：
       SAML 2.0 Endpoint (HTTPS)：单点登录服务绑定位置
       Identity Provider Issuer：实体描述符 实体 ID
       Identity Provider Issuer：X509 证书
    
   

有关更新声明的重要注意事项

警告：以下信息仅与早于 8.16.0.5225 的 Shotgun 版本相关。

Shotgun 将需要定期更新用户的声明。为此，Shotgun 将使用用户不可见的 iframe 连接到 IdP 服务器。Okta 的默认配置将不允许嵌入到 iframe 中。

此处有 2 种可能的解决方案：

1. 将 Okta 服务器配置为允许进行 iframe 嵌入。这是系统范围的选项，位于“设置 > 自定义 > 常规”(Settings > Customization > General)页面下的“管理员”(Admin)部分中。
   或者
2. 将 Shotgun 配置为使用外部弹出窗口来更新用户的声明。这可以通过以下方法来实现：

   saml_claims_renew_iframe_embedding_disabled: true

   在“站点偏好设置”(Site Preferences)页面的“SAML 身份认证”(SAML Authentication)部分下的“SSO 配置(YAML 格式)”(SSO Configuration (YAML format))中添加。