配置 Okta 相对简单。
请注意,以下说明是作为示例提供的,可能不同于特定情况下所需的内容。
在连接到 Okta 管理门户后,转到“Applications”页面:
- 选择“Add Application”。
-
选择“Create New App”。
-
创建基于 Web 的新 SAML 2.0 应用程序。
-
为新应用程序提供名称。
-
输入 SAML 设置。
单点登录 URL(Single Sign on URL):https://您的站点 URL/saml/saml_login_response
受众 URI(Audience URI):https://您的站点 URL/saml/metadata
-
输入 SAML 属性。
login_id
firstname
lastname
email
access(可选)
groups(可选)
您决定使用的值将取决于您的组织。
请注意,在此示例中,我们将 access 硬编码为true
,因为我们要在别处控制应用程序的可用性。我们还决定添加 groups 属性,我们为其填充组成员资格列表(管理员、美工人员或经理)。用户只能属于一个组。
-
完成配置。
-
继续完成 Okta 配置的其余部分来确定对应用程序的访问,以及确保发送适当的属性。这将取决于您的组织以及您决定如何为属性设置值。
-
向 Shotgun 管理员提供 SSO 配置。单击“View Setup Instructions”,并提供所示信息:
SAML 2.0 Endpoint (HTTPS):身份提供程序单点登录 URL
Identity Provider Issuer:身份认证器
Public Certificate:X.509 证书
如果您下载元数据,您将需要提取:
SAML 2.0 Endpoint (HTTPS):单点登录服务绑定位置
Identity Provider Issuer:实体描述符 实体 ID
Identity Provider Issuer:X509 证书
有关更新声明的重要注意事项
警告:以下信息仅与早于 8.16.0.5225 的 Shotgun 版本相关。
Shotgun 将需要定期更新用户的声明。为此,Shotgun 将使用用户不可见的 iframe 连接到 IdP 服务器。Okta 的默认配置将不允许嵌入到 iframe 中。
此处有 2 种可能的解决方案:
- 将 Okta 服务器配置为允许进行 iframe 嵌入。这是系统范围的选项,位于“设置 > 自定义 > 常规”(Settings > Customization > General)页面下的“管理员”(Admin)部分中。
或者 - 将 Shotgun 配置为使用外部弹出窗口来更新用户的声明。这可以通过以下方法来实现:
在“站点偏好设置”(Site Preferences)页面的“SAML 身份认证”(SAML Authentication)部分下的“SSO 配置(YAML 格式)”(SSO Configuration (YAML format))中添加。saml_claims_renew_iframe_embedding_disabled: true