Okta 配置

配置 Okta 相对简单。

请注意,以下说明是作为示例提供的,可能不同于特定情况下所需的内容。

在连接到 Okta 管理门户后,转到“Applications”页面:

  1. 选择“Add Application”
     
    Add Application
  2. 选择“Create New App”
     
    Create New App

  3. 创建基于 Web 的新 SAML 2.0 应用程序。
     
    创建新应用程序

  4. 为新应用程序提供名称。
     
    创建 SAML 应用程序 - 常规

  5. 输入 SAML 设置。
     
        单点登录 URL(Single Sign on URL):https://您的站点 URL/saml/saml_login_response
        受众 URI(Audience URI):https://您的站点 URL/saml/metadata
     
    创建 SAML 应用程序 - 设置

  6. 输入 SAML 属性。
    login_id
    firstname
    lastname
    email
    access(可选)
    groups(可选)
     
    您决定使用的值将取决于您的组织。
     
    请注意,在此示例中,我们将 access 硬编码为 true,因为我们要在别处控制应用程序的可用性。我们还决定添加 groups 属性,我们为其填充组成员资格列表(管理员、美工人员或经理)。用户只能属于一个组。
     
    创建 SAML 应用程序 - 设置 - 声明

  7. 完成配置。
     
    创建 SAML 应用程序 - 完成

  8. 继续完成 Okta 配置的其余部分来确定对应用程序的访问,以及确保发送适当的属性。这将取决于您的组织以及您决定如何为属性设置值。

  9. 向 Shotgun 管理员提供 SSO 配置。单击“View Setup Instructions”,并提供所示信息:
        SAML 2.0 Endpoint (HTTPS):身份提供程序单点登录 URL
        Identity Provider Issuer:身份认证器
        Public Certificate:X.509 证书
     
    如果您下载元数据,您将需要提取:
        SAML 2.0 Endpoint (HTTPS):SingleSignOnService Binding Location
        Identity Provider Issuer:EntityDescriptor entityID
        Identity Provider Issuer:X509Certificate
     
    创建 SAML 应用程序 - 设置

 

有关更新声明的重要注意事项

Shotgun 将需要定期更新用户的声明。为此,Shotgun 将使用用户不可见的 iframe 连接到 IdP 服务器。Okta 的默认配置将不允许嵌入到 iframe 中。

此处有 2 种可能的解决方案:

  1. 将 Okta 服务器配置为允许进行 iframe 嵌入。这是系统范围的选项,位于“设置 > 自定义 > 常规”(Settings > Customization > General)页面下的“管理员”(Admin)部分中。
    或者
  2. 将 Shotgun 配置为使用外部弹出窗口来更新用户的声明。这可以通过以下方法来实现:
    saml_claims_renew_iframe_embedding_disabled: true
    在“站点偏好设置”(Site Preferences)页面的“SAML 身份认证”(SAML Authentication)部分下的“SSO 配置(YAML 格式)”(SSO Configuration (YAML format))中添加。
关注