跳到内容

OneLogin集成(使用SAML)

英格兰vs伊朗让球RStudio Connect可以使用SAML身份验证提供程序与您公司的OneLogin基础设施集成。

使用这种集成,用户身份验证将被定向到您的OneLogin服务。

OneLogin集成(使用SAML)示例

请注意

SAML配置附录包含有关每个SAML配置选项的信息。

重要的

虽然通常不需要,但是服务器。地址配置选项在使用SAML时需要将SAML身份验证安全地限制到特定地址。

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(服务器)地址英格兰vs伊朗让球rstudio.company.com(认证)提供者“saml”(SAML)IdPMetaDataURL“https://app.onelogin.com/saml/metadata/ {app-guid}”IdPAttributeProfileonelogin;启用此功能以获得更好的用户体验,除非;管理大量的组是一个问题:GroupsAutoProvision = true;在尝试解决与SAML相关的问题时,;您可以通过启用以下行来启用更详细的日志记录;Logging = true

提示

在上面的例子中,IdPAttributeProfile对应于一组预先确定的值,这些值与OneLogin要分配的属性相匹配。如果您需要这些单独值的更多详细信息,请参阅下面的部分使用属性配置文件

我们提供其他的例子如果您的环境约束要求使用更复杂的SAML配置,则在底部使用SAML配置。

配置

启动OneLogin配置身份提供程序配置。完成后,您可以继续进行英格兰vs伊朗让球RStudio连接服务提供程序配置

笔记

  • RStudio Connect中的用英格兰vs伊朗让球户搜索将只搜索通过RStudio Connect Server API登录或创建的用户。

  • RStudio Connect中的用户组搜索将只英格兰vs伊朗让球搜索从用户登录中填充或通过RStudio Connect Server API创建的组。

  • 强烈建议将RStudio Connect配置为侦听使用TLS英格兰vs伊朗让球保护的端口,以确保以安全的方式将SAML登录断言发布到RStudio Connect服务器。看到HTTPS配置附录中列出了配置TLS时可用的选项列表。

  • RStudio Connect发起的身份验证请求有效期为15分钟。英格兰vs伊朗让球如果用户的身份提供者发布了对过期请求的响应,则登录将失败,用户将需要发起新的请求。

  • RStudio Connect发起的身份验证请求的数量被限制在1000个并发尝试,在此之后,任何其他请英格兰vs伊朗让球求将被拒绝,直到所有与打开请求相关的响应被处理或其中一些请求过期。

身份提供程序配置

几乎所有的idp都需要你定义和配置它们应该交互的服务提供者,包括RStudio Connect。英格兰vs伊朗让球他们可能会使用不同的术语,但是您需要向IdP提供三条信息。

下面的前两项有时可以通过为SP提供元数据XML文档的方式在IdP中配置。如果可用,通常更可取。完成IdP配置后,请参见服务提供者配置节获取更多详细信息。

  • 服务提供商EntityID这是一个字符串,唯一标识RStudio Connect作为IdP的服务提供者。英格兰vs伊朗让球这可能会以其他方式标记,比如,实体的ID名字目的地观众观众的限制等。这通常是SP提供的元数据的URL,但不是必需的。

    你应该使用值https:// <主机名>:端口/ __login__ saml为RSt英格兰vs伊朗让球udio Connect,替换主机名港口是合适的。属性中指定的内容应该匹配服务器。地址配置选项。

    警告

    重要的是,当使用上述URL作为实体ID时,它必须包含尾符/字符;这将阻止登录工作,因为IdP提供的受众字段将与RStudio Connect将使用的实体ID不匹配。英格兰vs伊朗让球

    请注意

    不要求IdP能够访问该URL。这意味着当你被要求输入这个值英格兰vs伊朗让球时,RStudio Connect不需要运行。

  • 断言使用服务这是服务提供者中的URL, IdP将在其中发布身份验证响应(也称为断言)。在IdP上启动身份验证时,这一点非常重要。这也可以标记为单点登录URLSSO URLACS的URL等。

    你应该使用值https:// <主机名>(港口):/ __login__ saml / acs为RSt英格兰vs伊朗让球udio Connect,替换主机名港口是合适的。属性中指定的内容应该匹配服务器。地址配置选项。

    警告

    确保您提供的ACS URL不包含尾斜杠。有一个将阻止登录工作。

  • 属性映射这是IdP中已知字段到将在身份验证响应中用于它们的属性名的映射。它们通常在名称/值对中指定,尽管它们可能包含格式规范。英格兰vs伊朗让球RStudio Connect将所有格式处理为字符串。

    每个名称都是字符串,它的值将在身份验证响应中被知道,并且必须与RStudio Connect中指定的值匹配。英格兰vs伊朗让球

    提示

    如果您正在使用IdPAttributeProfile在例子中onelogin,在您的IdP中搜索预配置的RStudio Connect集成,它可能已经为您完成了英格兰vs伊朗让球属性映射,或者查看使用属性配置文件节中应该在IdP映射中手动定义的值。不使用IdPAttributeProfile是可能的,但它需要为每个用户属性定义带有单独设置的所有属性映射。请访问上面的链接以获得完整的列表。

英格兰vs伊朗让球RStudio连接SAML元数据

一些idp可以从服务提供者的元数据文件中配置服务提供者的基本信息。英格兰vs伊朗让球RStudio Connect将提供它的SAML元数据https:// <主机名>:端口/ __login__ saml端点(与RStudio Connect的实体英格兰vs伊朗让球ID相同)。如果IdP接受SP元数据的URL(并且IdP有访问RStudio Connect的方法),你应该使用实体ID作为URL。英格兰vs伊朗让球如果IdP接受SP的元数据文件的上传,则可以使用旋度命令从RStudio Connect获取SAML元数据,如下所示:英格兰vs伊朗让球

Curl https://localhost:3443/__login__/saml——output metadata.xml

上面的代码假设您正在执行旋度从运行RStudio Connect并将元数据英格兰vs伊朗让球XML文档写入名为metadata.xml在当前目录中。同样的命令,甚至是一个浏览器,可以在任何可以访问RStudio Connect的地方使用。英格兰vs伊朗让球

警告

英格兰vs伊朗让球RStudio Connect只有在定义了IdP信息的最低限度有效SAML配置下运行时才能提供元数据。

英格兰vs伊朗让球RStudio连接服务提供程序配置

有两种方法可以配置RStudio Connect需要的关于SAML身份提供程序(或IdP)的信息英格兰vs伊朗让球使用IdP的元数据或通过使用特定配置选项。强烈建议使用元数据以便更容易地与您的IdP集成。

请注意

用户属性映射是配置的可选步骤。只有在使用时才需要SAML。IdPAttributeProfile是不够的,需要定制。

使用IdP的元数据

要通过使用其元数据文件的本地副本来配置IdP,请使用SAML。国内流离失所者MetaDataPath选择。或者,SAML。国内流离失所者MetaDataURL选项可以设置为可以从IdP检索元数据的HTTPS(或HTTP) URL。

重要的

英格兰vs伊朗让球RStudio Connect要求将SAML IdP配置为对它发送的所有消息进行签名。因此,IdP的元数据必须包含签名证书。或者,如果您正在使用特定选项,则SAML。国内流离失所者SigningCertificate选项是必需的。

例如,

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataURLhttps://idp.example.com/saml/metadata

告诉RStu英格兰vs伊朗让球dio Connect从给定的URL中提取IdP的元数据,而

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataPath/ /本地/ dir / idp.xml

告诉RStu英格兰vs伊朗让球dio Connect从命名的本地可访问的文件中读取元数据。

警告

当RStudio Connect运行时,检索或读取的元数据被缓存。英格兰vs伊朗让球如果元数据在此期间过期,则用户在过期后第一次尝试登录将导致检索或再次读取元数据。如果元数据为仍然过期(就像从本地文件读取一样),登录将失败。只要元数据过期,其他登录尝试也会失败。现有用户会话将继续正常运行。一些idp使用元数据过期来允许颁发新的签名证书,因此对于基于url的元数据来说,这通常不是问题。如果使用基于文件的元数据,则该错误将持续存在,直到更新元数据文件。一旦新的、未过期的元数据可用,登录将再次成功。

自己提供细节

如果由于某些原因,IdP的元数据不能提供给RStudio Connect服务器,您可以使用英格兰vs伊朗让球SAML。国内流离失所者EntityIDSAML。国内流离失所者SingleSignOnServiceURL,SAML。国内流离失所者SigningCertificate配置选项。

SAML。国内流离失所者EntityID选项用于标识IdP。由于所有标识提供者都必须有一个公共名称,即这个实体ID,因此使用它来验证是否从正确的系统接收到SAML消息。

SAML。国内流离失所者SingleSignOnServiceURLoption用来告诉RStudio Conne英格兰vs伊朗让球ct发送到哪里(通过)帖子(或重定向)试图登录的用户的身份验证请求。IdP系统必须为sp发起的登录侦听此URL。在RStudio Connect配置英格兰vs伊朗让球为仅用于idp发起的登录的情况下,这必须是IdP的用户登录页面。

SAML。国内流离失所者SigningCertificate指定密钥的公共端,IdP将使用该密钥对发送给RStudio Connect的消息签名。英格兰vs伊朗让球它可能是一个PEM文件或原始的Base64编码证书的路径。当不从元数据配置IdP信息时,此选项必须被指定。

除了SAML。国内流离失所者SigningCertificate,如果你使用单独的选项,你不得指定SAML。国内流离失所者MetaDataURL选项或SAML。国内流离失所者MetaDataPath选项,因为这将覆盖这些。如果此条件存在,RStudio Connect启动期间英格兰vs伊朗让球将记录一个警告。

其他SAML选项

根据其他IdP配置或安全需求,您可能需要在RStudio Connect SAML配置中添加更多选项才能继续:英格兰vs伊朗让球

重要的

英格兰vs伊朗让球RStudio卡塔尔世界杯欧洲预选赛赛程表 Connect至少支持SAML的一个子集可互操作的SAML

值得注意的是,目前缺少某些功能:

  • 单注销

  • 证书链验证

  • RelayState URL处理(不是SAML标准的一部分)

卡塔尔世界杯欧洲预选赛赛程表支持加密断言和响应

如果您(或您的IdP)希望IdP发布加密的SAML响应以完成登录操作,则需要使双方都可以使用安全密钥对。必须为IdP提供密钥对的公共证书端;如何做到这一点因IdP而异。必须是RSA密钥对。的opensslssh - keygen命令是用于生成新密钥对的最常用工具。参考您选择的工具的文档;目标是创建两个PEM文件,一个带有私钥,另一个带有公共证书。

使用SAML。SPEncryptionKey配置选项提供密钥对的私有部分给RStudio Connect。英格兰vs伊朗让球如果希望启用加密支持,则必须提供该选项。卡塔尔世界杯欧洲预选赛赛程表必须是PEM格式的RSA私钥文件的路径。

使用该选项SAML。SPEncryptionCertificate为RStudio Connect提供公共证书。英格兰vs伊朗让球这样做是为了将证书包含在RStudio Connect将生成的SP元数据中。英格兰vs伊朗让球

卡塔尔世界杯欧洲预选赛赛程表支持签名身份验证请求

请注意

所有SAML反应必须由你的IdP签署。本节讨论的是RStudio Connect本身是否会向您的IdP发送签名的英格兰vs伊朗让球SAML消息。在大多数情况下,这不是必需的,可以跳过这一节。

如果您(或您的IdP)希望RStudio Conne英格兰vs伊朗让球ct对sp发起的登录流使用的SAML身份验证请求进行签名,则需要确保双方都可以使用安全密钥对。必须为IdP提供密钥对的公共证书端;如何做到这一点因IdP而异。必须是RSA密钥对。的opensslssh - keygen命令是用于生成新密钥对的最常用工具。参考您选择的工具的文档;目标是创建两个PEM文件,一个带有私钥,另一个带有公共证书。

请注意

用于加密的证书和RSA私钥也可以用于签名请求。如果已经配置了加密,则不需要额外的密钥。

使用SAML。SPSigningKey配置选项提供密钥对的私有部分给RStudio Connect。英格兰vs伊朗让球如果希望启用请求签名支持,则必须提供加密密钥或签名密钥。卡塔尔世界杯欧洲预选赛赛程表必须是PEM格式的RSA私钥文件的路径。

使用该选项SAML。SPSigningCertificate为RStudio Connect提供公共证书。英格兰vs伊朗让球这样做是为了将证书包含在RStudio Connect将生成的SP元数据中。英格兰vs伊朗让球

警告

英格兰vs伊朗让球RStudio Connect只接受一个密钥对。您可以使用密钥对这两个加密和签名请求或一个只是为了签名。目前不支持用于签名和加密的不同密钥对。卡塔尔世界杯欧洲预选赛赛程表

您还需要知道IdP支持的签名方法是什么。卡塔尔世界杯欧洲预选赛赛程表可用的选项有sha1sha256sha512。您的选择需要在SAML。SPRequestSigningMethod选择。不确定的时候,尝试一下sha256首先,它在安全性和兼容性之间提供了一个很好的平衡。

请注意

通过使用上面列出的签名方法之一,RStudio Connect元数据将包含一个英格兰vs伊朗让球“签署”证书,并将具有该属性AuthnRequestsSigned真正的价值。

SAML绑定

使用SAML。国内流离失所者SingleSignOnPostBinding选项,以说明是否要使用RStudio Connect英格兰vs伊朗让球帖子绑定(真正的)或重定向绑定((默认值),当RStudio Conne英格兰vs伊朗让球ct使用IdP启动单点登录操作时。重定向是最常见的选择。

如果你使用帖子绑定时,RStud英格兰vs伊朗让球io Connect将返回一个隐藏的HTML表单,该表单将自动提交到IdP单点登录页面,该页面将显示,或者如果用户已经登录,则继续通过登录过程并将用户登录到Connect。

如果IdP是由它的元数据配置的,RStudio Connect将使用这里请求的绑定来英格兰vs伊朗让球验证IdP是否使SSO位置可用。如果IdP元数据表明支持多个绑定,则卡塔尔世界杯欧洲预选赛赛程表SAML。国内流离失所者SingleSignOnPostBinding选项控制将使用哪一个。

单点登录初始化

SAML规范允许由IdP或SP发起单点登录流SAML。SSOInitiated选项来控制它。有三种可能的值。

  • 国内流离失所者这表明单点登录只能在IdP上启动。在这种模式下,最终用户必须访问其IdP的登录页面,并选择RStudio Connect作为要使用的服务提供商。英格兰vs伊朗让球

    请注意

    在此模式下,您将无法使用IdP的元数据来配置IdP的信息;您将需要使用单独的配置选项。当使用IdP初始化身份验证时,这会导致从RStudio IDE发布时出现问题。英格兰vs伊朗让球由于IDE只能知道RStudio Connect, RStudio 英格兰vs伊朗让球Connect必须通过返回一个“盲”重定向到IdP的登录页面来响应。必须在SAML。国内流离失所者SingleSignOnServiceURL配置选项。

  • IdPAndSP这表明单点登录可以由IdP或RStudio Connect发起。英格兰vs伊朗让球在这种情况下,请注意RStudio IDE将始终使用服务英格兰vs伊朗让球提供者发起的流。这是默认值。

  • SP这表示单点登录只能由RStudio Connect发起。英格兰vs伊朗让球在这种模式下,idp发起的登录将失败,因为RStudio Connect没有发送匹配的身份验证请求。英格兰vs伊朗让球

名称ID格式

当SAML IdP向服务提供者标识经过身份验证的用户时,该用户(通常)由SAML称为“NameID”。这个名称ID有四种可能的格式。IdP可能支持此值的多个卡塔尔世界杯欧洲预选赛赛程表值。使用SAML。NameIDFormat选项,告诉RStudio Co英格兰vs伊朗让球nnect您的IdP将使用哪一个。这可以设置为瞬态持续的emailAddress未指明的;如果未提供此选项,则使用最后一个选项。指定IdP属性配置文件SAML。国内流离失所者AttributeProfile(见下文)配置文件中的NameID格式将优先于此选项。

如果显式定义了NameID格式,则可以使用概要文件或SAML。NameIDFormat选项,它将作为SAML SP元数据的一部分包含在RStudio connect将从其英格兰vs伊朗让球/ __login__ samlURI。即使格式设置为未指明的。如果SAML。NameIDFormat选项,则SP元数据不会提及它们NameIDFormat。看到SAML的元数据节,了解有关SP元数据的更多详细信息。

如果IdP是由其元数据配置的元数据发布IdP支持的格式,RStudio Connect将验证英格兰vs伊朗让球卡塔尔世界杯欧洲预选赛赛程表SAML。NameIDFormat或来自IdP属性配置文件选项,由IdP使用以下规则支持:卡塔尔世界杯欧洲预选赛赛程表

  • 如果为RStudio Connect配置的值为英格兰vs伊朗让球未指明的,任何来自IdP的值都将被接受。

  • 如果为RStudio Connect配置的值是其他任何值英格兰vs伊朗让球,如果它出现在IdP格式列表中,它将被接受。如果IdP列表中包含未指明的连接格式为在该列表中,它将被接受,但将记录一个警告,指出可能需要调整配置。在这种情况下,这可能起作用,也可能不起作用,这取决于您的特定IdP。

用户属性映射

当IdP对用户进行身份验证时,有关该用户的某些数据可能包含在身份验证响应中。这些是最常见的属性断言属性索赔。因此,RStud英格兰vs伊朗让球io Connect可以正确地管理它的用户信息,它需要了解这些。由于此映射包含Name ID,因此适当的SAML。NameIDFormat,因为该ID也包含在配置文件中。

请注意

从SAML断言属性映射的用户字段将在所有后续成功登录时更新(如果它们更改)。

英格兰vs伊朗让球当SAML身份验证断言包含组成员信息时,RStudio Connect可以自动将用户分配给组。

有两种方法可以告诉RStudio Connect数据是英格兰vs伊朗让球如何映射的,使用属性配置文件,或自己指定属性

使用属性配置文件

有时候RStudio会提前知道特定IdP的英格兰vs伊朗让球字段映射应该是什么。在这种情况下,RStudio Connect的数据库中将提供一个适当的属性配置文件。英格兰vs伊朗让球

使用SAML。国内流离失所者AttributeProfile选项来指定RStudio Connect应该使用的配置文件。英格兰vs伊朗让球默认情况下,这将启用组成员信息的映射。如果你想使用一个配置文件,但做要使用组,请设置SAML。国内流离失所者AttributeProfileGroups配置选项。如果指定了配置文件,则不能指定任何SAML。UniqueIDAttributeSAML。NameIDFormatSAML。使用rnameAttributeSAML。FirstNameAttributeSAML。LastNameAttributeSAML。EmailAttributeSAML。GroupsAttribute选项,因为它们将被配置文件覆盖。如果此条件存在,RStudio Connect启动期间英格兰vs伊朗让球将记录一个警告。

请注意

如果SAML。国内流离失所者AttributeProfile,则它将覆盖任何其他IdP属性名称选项。看到附录了解更多信息。

下面是对每个“onellogin”配置文件和断言名称的描述,这些断言名称预期显示为它们各自的设置等效物。看到SAML属性节,了解有关各个配置选项的详细信息。

onelogin配置文件

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)UniqueIDAttributeNameIDNameIdFormatemailAddressUsernameAttribute用户名FirstNameAttributeFirstNameLastNameAttributeEmailAttributeNameIDGroupsAttribute角色

重要的

属性配置文件从来没有定义一个SAML。RoleAttribute用于…用户角色映射。如果需要在每个用户的基础上进行角色映射(与按组成员关系进行映射相反),那么除了配置文件之外,还应该使用一个值来定义此配置选项。

自己指定属性

重要的

在RStudio Connect中,SAML属性名的匹配是区分大小写的。英格兰vs伊朗让球

使用SAML。使用rnameAttributeSAML。FirstNameAttributeSAML。LastNameAttributeSAML。EmailAttribute配置选项,用于设置在获取相关值时要查找的属性的名称。对于每一个指定(当不使用属性配置文件时),RStudio Connect将承担字段的管理,使它们可在Conn英格兰vs伊朗让球ect仪表板中编辑。如果您希望使用组信息,请使用SAML。GroupsAttribute选项设置要查找的属性的名称。这允许将用户自动添加到在Connect中手动创建的组中。

请注意

设置SAML。国内流离失所者AttributeProfile将覆盖单个属性设置。确保没有定义此设置。

生成的用户名

必须包含SAML。使用rnameAttribute或者是SAML。EmailAttribute选项(或两者都有)。如果您没有配置username属性,或者SAML或其背后的身份验证机制没有提供该属性,RStudio Connect将在用户第一次登录时为用户创建一个新的唯一的用户名。英格兰vs伊朗让球用户名将派生自用户的电子邮件地址,不带域,并根据需要添加一个数字后缀以保持唯一性。这些用户名是可编辑的。

要使用此功能,请设置SAML。使用rnameAttribute应该强制有一个空白值(”“)和包含用户电子邮件的标题必须在设置中进行配置SAML。EmailAttribute

这些生成的用户名以后可以由用户自己或管理员修改,只要它们保持唯一即可。英格兰vs伊朗让球否则RStudio Connect将拒绝更改用户名。

请注意

强烈建议在可能存在重复用户名的配置和唯一用户名的配置之间进行切换。如果需要进行这样的更改,请确保通过使用usermanager重新启动RStudio之前使用CLI工具连接新的配置。英格兰vs伊朗让球看到用户管理CLI附录获取更多信息。

用户配置

身份验证将完全在SAML身份提供程序的基础设施中进行,一旦完成,将向RStudio Connect返回远程用户信息。英格兰vs伊朗让球

首次登入登记

默认情况下,用户第一次成功登录时可以在RStudio Connect中创英格兰vs伊朗让球建用户。中指定的角色将创建帐户授权。DefaultUserRole设置(见用户角色)或via用户角色映射如果配置。否则,角色可以指定为用户在仪表板中手动添加或通过RStudio Connect Server API添加。英格兰vs伊朗让球

禁用首次登录时注册

SAML。RegisterOnFirstLogin可用于通过登录行为禁用注册。

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)RegisterOnFirstLogin

重要的

使用此选项需要通过RStudio Connect Server API专门创建用户。英格兰vs伊朗让球

用户名

用户名由SAML身份验证服务提供者在外部定义。
然而,RStudi英格兰vs伊朗让球o Connect对它支持的用户名施加了一些额外的限制:卡塔尔世界杯欧洲预选赛赛程表

  • 禁止使用以下值:连接应用程序用户向setpassworduser-completion确认最近报告情节未发表的设置指标令牌帮助登录欢迎注册resetpassword内容

SAML提供程序返回的用户名在以下情况下不需要是唯一的SAML。使用rnameAttribute配置。

提示

重复的用户名可能会对跟踪用户凭据的内容产生不利影响。请参阅内容凭据高级用户和组主题附录为此条件下的备选方案。

请注意

当发布到英格兰vs伊朗让球同一个RStudio Connect主卡塔尔世界杯欧洲预选赛赛程表机时,RStudio Studio IDE不支持重复的用户名。但是,具有相同用户名的两个用户不太可能共享相同的IDE帐户或工作站。

如果您的SAML IdP没有用户名的概念,RStudio Connect可以根据用户的电子邮件地址生成一个。英格兰vs伊朗让球看到生成的用户名获取详细信息。

惟一的ID

指定的值之外NameIDFormat(描述以上)中定义的属性在Connect中唯一标识用户SAML。UniqueIDAttribute指定的配置文件中的相同字段SAML。国内流离失所者AttributeProfile。默认为“NameID”它是经过身份验证的主体的标准标识符,它与不同的SAML身份提供程序具有广泛的兼容性。如果您的IdP设置为使用瞬态,则此值必须指定为其他值NameID

警告

用户由他们的惟一的ID在国内流离失所者系统中。如果R英格兰vs伊朗让球Studio Connect显示了一个它从未见过的唯一ID,它将创建一个新用户。

请注意

得到的值SAML。UniqueIDAttribute必须完全匹配字段unique_id用于通过Connect Server API创建新用户。一旦用户被创建,RStudio Connect标识(英格兰vs伊朗让球guid)应用于该用户的后续API操作。

用户的唯一ID需要映射到SAML主题的Name ID或到Identity Provider(或IdP)断言属性,因此,在RStudio Connect中不可编辑。英格兰vs伊朗让球

编辑用户属性

在RStudio Connect中,SAML断言中的用户配置文件字段是不可编辑的。英格兰vs伊朗让球

请注意

控件在登录之前可以强制更新不可编辑的字段usermanagerCLI的工具。看到用户管理CLI附录。

用户的用户名、名、姓和电子邮件地址可以从任何SAML断言属性映射出来。如果没有配置映射,对应的字段将在RStudio Connect中可编辑,但要遵守英格兰vs伊朗让球授权。使用rInfoEditableBy配置选项。

对一个用户的SAML断言属性(例如他们的名字,电子邮件地址,或者用户名)的字段的更改将不会传播到RStudio Connect,直到该用户下次登录。英格兰vs伊朗让球

对于没有属性映射的字段,授权。使用rInfoEditableBy将控制谁可以编辑它们。该选项的默认值为AdminAndSelf,允许用户和管理员管理这些用户配置文件属性。配置授权。使用rInfoEditableBy管理如果配置文件编辑应该仅限于管理员。

提示

建议禁用SAML。RegisterOnFirstLogin值为,您也可以配置授权。使用rInfoEditableBy管理。的值管理即管理员创建的用户不能被非管理员用户修改。

编辑用户角色

用户角色只能在RStudio Connect中编辑英格兰vs伊朗让球用户角色自动映射未配置SAML身份验证提供程序,也未将其配置为作为用户配置文件的一部分发送角色。

用户角色自动映射

英格兰vs伊朗让球RStudio Connect提供了在用户登录时将用户信息映射到有效角色的方法。这可以通过定义为用户配置文件的一部分的角色来完成SAML集团会员资格。

使用组成员关系

重要的

此选项不适用于本地管理组

使用配置选项授权。使用rRoleGroupMapping通过组实现用户角色映射。

警告

当组映射被启用时,从身份验证提供者接收角色作为用户配置文件信息的一部分的配置选项将被忽略,并且RStudio Connect将无法启动英格兰vs伊朗让球授权。使用rRoleMapping

也是启用的。

启用后,配置选项授权。ViewerRoleMapping授权。PublisherRoleMapping,授权。管理是tratorRoleMapping将参考组。

在下面的示例中,使用组名。查看器映射被故意忽略,这样剩下的用户将根据选项分配授权。DefaultUserRole默认为查看器

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(授权)UserRoleGroupMapping真正的PublisherRoleMapping“开发人员”AdministratorRoleMapping“Dev-Leaders”AdministratorRoleMapping“it管理员”

请注意

按唯一ID分组,角色映射应该基于组的唯一id,而不是组的名称。

使用用户配置文件角色

您可以配置RStudio Conne英格兰vs伊朗让球ct,以根据SAML断言的属性自动定义用户角色。

使用配置选项授权。使用rRoleMapping启用用户角色映射。

SAML。RoleAttribute还应该定义配置选项,以便作为用户配置文件的一部分接收角色信息。

请注意

用户角色可以直接从身份验证提供程序中使用,而不需要映射值,只要它只返回的值即可查看器出版商管理员在RStudio Connect中定义英格兰vs伊朗让球角色。

角色属性不是SAML属性配置文件的一部分,它应该单独配置一个值,该值适合您的组织对RStudio Connect用户的角色概念。英格兰vs伊朗让球

请注意

无效角色值默认为的值授权。DefaultUserRole如果启用了调试日志记录,则会在日志中报告该问题。

如果您希望将字段的值映射到RStudio Connect用户角色,您可以使用配置选项英格兰vs伊朗让球授权。ViewerRoleMapping授权。PublisherRoleMapping,授权。管理是tratorRoleMapping

在下面的示例中,身份验证提供程序返回部门名称:

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(授权)UserRoleMapping真正的ViewerRoleMapping“人力资源”ViewerRoleMapping“市场营销”PublisherRoleMapping“工程”AdministratorRoleMapping“它”

多用户角色映射

当配置的映射与身份验证提供者发送的用户或组信息有多个匹配时,将选择具有最多权限的角色。这种行为可以很容易地将用户提升到一个新角色。

请注意

如果担心安全性,可以在这些场景中使用配置选项使用更具限制性的行为授权。使用rRoleMappingRestrictive。启用后,它将导致选择权限最小的角色。

SAML组成员管理

英格兰vs伊朗让球RStudio Connect可以配置为根据SAML身份提供者(IdP)发送的组名列表自动将用户分配到现有组。对于每次登录尝试,收到的组名列表将与用户当前的成员身份进行比较,将用户添加为新列出的组的成员,并从不再列出的组中删除该用户。

使用设置SAML。GroupsAttribute或者选择SAML IdP配置文件SAML。国内流离失所者AttributeProfile它将自动定义此设置。

请注意

IdP发送的组列表将覆盖手动或通过Connect Server API定义的任何成员关系。但是,这些操作仍然可以在登录尝试之间使用,以保持组成员关系与IdP同步。

提示

如果不希望使用IdP发送的组,可以使用配置选项SAML。国内流离失所者AttributeProfileGroups值为禁用群组支持卡塔尔世界杯欧洲预选赛赛程表SAML。国内流离失所者AttributeProfile。设置SAML。GroupsAttribute也必须保持未定义。在这种情况下,仍然可以使用本地管理组在RS英格兰vs伊朗让球tudio Connect中。

手动组发放

管理员可以使用RStudio Connect仪表板中的“People”选项卡“添加”对英格兰vs伊朗让球SAML管理组的引用。RStudio Connect用户的组成英格兰vs伊朗让球员关系将只跟踪这些组,而不是从SAML IdP返回的整个组列表。

提示

这是默认行为,当RStudio Connect用户与大量组相关联时,这是一个很好的选择,但只有其中一些对内容访问控英格兰vs伊朗让球制有用。

警告

在通过仪表板中的“people”或通过Connect Server API删除组时,应该小心。删除组还会删除所有关联吗在被删除的组和现有内容之间。

自动组分配

除了成员关系之外,RStudio Connect还可以配英格兰vs伊朗让球置为根据IdP为用户发送的组名列表自动提供(创建)新组。可以使用SAML。GroupsAutoProvision

这意味着当用户登录时,将在RStudio Connect中为用户创建尚未存在的组。英格兰vs伊朗让球即使在删除了最后一个成员之后,这些组仍然无限期地保持供应状态,以便为这些组的未来成员保留对内容的任何访问权限。

提示

删除过时或未使用的组可以通过仪表板、RStudio Connect Server API,或者最终通过英格兰vs伊朗让球usermanagerCLI。

手动和自动组发放切换

通过自动配置创建的组没有所有者,而手动或通过Connect Server API创建的任何组总是与用户相关联。

英格兰vs伊朗让球如果现有组的所有权与提供者配置不匹配,RStudio Connect将在启动时发出警告。

在这些情况下,要么需要删除组,要么需要调整组的所有权。这可以用usermanager命令行工具改变命令,使用——新主人——drop-owner开关。

我们的目标是,如果你打算在RStudio Connect中管理它们,那么所有自动提供的组都应该被分配一个所有者。英格兰vs伊朗让球相反,如果您打算让所有组都由身份验证提供程序管理,则应删除其所有者。此外,您应该删除任何在新配置中没有意义的组,这可以通过Connect仪表板、Connect Server API或usermanager。看到用户管理CLI附录了解更多信息。

本地管理组

如果你决定不配置对SAML组的支持,你仍然可以在RStu英格兰vs伊朗让球dio Connect中使用组。卡塔尔世界杯欧洲预选赛赛程表

重要的

本地管理的组与IdP上的组没有关系。

这些组是RStudio Connect的本地组,它们英格兰vs伊朗让球可以通过Dashboard或Connect Server API创建。组成员关系也必须使用相同的方法进行管理。

提示

如果在RStudio Connect中根本不需要组,请设置英格兰vs伊朗让球授权。用户组配置选项

匹配组的标识符

默认情况下,RStudi英格兰vs伊朗让球o Connect会将SAML IdP发送的组列表与RStudio Connect中存在的组名称进行匹配。一些SAML提供程序不发送组名,而是使用它们的唯一标识符(如guid)。

按名称分组

当您的SAML IdP发送组名时,RStudio Connect的默认行为可以使用区分大小写的字符串比较来匹配组。英格兰vs伊朗让球

重要的

如果在您的SAML IdP中重命名组,它们将被识别为新组。取决于的设置SAML。GroupsAutoProvision,这些新组要么被添加,要么被忽略。在任何情况下都不会从内容acl中重命名或删除旧组。您仍然可以在RStudio Connect中重命名组以匹配IdP英格兰vs伊朗让球中的组名,以保留与内容的所有关联。如果通过自动配置创建了同名的重复组,则必须首先删除该新组。

按唯一ID分组

为了支卡塔尔世界杯欧洲预选赛赛程表持SAML IdP为组发送唯一标识符而不是其名称的场景,RStudio Connect可以通过使用设置来配置为匹配这些标识符英格兰vs伊朗让球SAML。GroupsByUniqueId

警告

这被认为是RStudio Connect的一个高级特性。英格兰vs伊朗让球通过标识符而不是名称来标识组需要在所有组管理工作流中使用RSt英格兰vs伊朗让球udio Connect Server API。在这种情英格兰vs伊朗让球况下,RStudio Connect Dashboard不允许组管理,除非将组与某些内容关联起来,这仍然是可能的。

由唯一标识符标识的组必须在RStudio Connect中使用Connect Server API进行配置。英格兰vs伊朗让球API调用允许组的关联unique_id(与SAML IdP在身份验证期间发送的相同),具有用户友好的名称,通常与IdP中使用的名称相同。英格兰vs伊朗让球在这种情况下,RStudio Connect不会强制使用唯一的组名。

提示

重复的组名可能会对跟踪用户凭据的内容产生不利影响。请参阅内容凭据高级用户和组主题附录为此条件下的备选方案。

重要的

SAML。GroupsByUniqueId启用,SAML。GroupsAutoProvision可以被启用。这将导致在RStudio Connect中创建没有有意义名称的组,因为IdP只提供唯一的ID。英格兰vs伊朗让球

组身份切换

最好,GroupsByUniqueId应该在RStudio Connect中有任何组之前启用。英格兰vs伊朗让球如果已经创建了任何组,并且希望使用此选项,则强烈建议运行Usermanager——groups——normalize-ids命令,以使这些现有组在新设置下正常工作。看到用户管理CLI附录了解更多信息。的usermanager如果决定禁用,也应该运行上面的命令GroupsByUniqueId在以后的时间里。

使用多个网络别名对SAML进行身份验证

默认情况下,RStudi英格兰vs伊朗让球o Connect将只允许SAML身份验证配置的主机名,协议和端口服务器。地址设置。这是首选的,也是最安全的方法。

如果您打算允许从多个网络别名(如不同的DNS项)或通过多个代理(或在防火墙前后)使用SAML身份验证,则必须通过SAML。SSOFollowHTTPHeaders设置。一旦启用,服务器。地址将被忽略,而HTTP头将被用来确定服务器协议、主机名和端口。

我们建议代理添加一个X-RSC-Request请求头。的值X-RSC-Requestheader应该是客户端发出的原始请求的绝对URL。https://connect.proxy.company.com <: port > / /一些/路径)。

有些代理(例如Amazon Web Services Elastic Load Balancer)不允许添加自定义标头。如果X-RSC-Request头文件没有提供,标准头文件X-Forwarded-ProtoX-Forwarded-Host,X-Forwarded-Port在“尽最大努力”尝试确定原始请求URL时使用。

X-Forwarded当代理执行路径重写(例如在下面服务)时,标头是不合适的https://proxy.company.com/rsc/)。使用X-RSC-Request当path-rewriting。X-RSC-Request当两者同时存在时优先X-RSC-RequestX-Forwarded提供头文件。

如果没有这些头文件,则宿主头将被使用,协议或方案(httphttps)将根据是否配置TLS/SSL并用于身份验证尝试来选择。

请注意

仅依靠报头来确定SAML的服务提供者位置存在安全风险。强烈建议在RStudio Connect前放置代理或其他网络服务,以确保不可能发送包含上面列出的带有恶意地址的头之一的请求。英格兰vs伊朗让球

其他配置举例

在本例中,配置使用具有单个用户属性名的元数据。

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataURLhttps://idp.example.com/saml2/metadataNameIDFormat持续的UsernameAttribute“用户名”FirstnameAttribute“FirstName”LastnameAttribute“姓”EmailAttribute“电子邮件”GroupsAttribute“组织”

这是一个更复杂的SAML配置示例。当元数据不可用或不能使用时,它使用单独的设置。单点登录只能由IdP发起,如果首先在Connect中尝试身份验证(这将在RStudio IDE中发生),Connect将重定向到IdP上的登录页面,签名证书,加密密钥和证书是通往PEM文件和because的路径英格兰vs伊朗让球瞬态正在被使用UniqueIDAttribute还有别的什么吗NameID

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)SSOInitiated国内流离失所者IdPEntityIDhttps://idp.example.com/saml2/metadataIdPSingleSignOnServiceURLhttps://idp.example.com/loginIdPSigningCertificate/ / sign.cer /路径SPEncryptionKey/ / rsa.key /路径SPEncryptionCertificate/ / pem.cer /路径NameIDFormat瞬态UniqueIDAttribute“GUID”UsernameAttribute“用户名”FirstnameAttribute“FirstName”LastnameAttribute“姓”EmailAttribute“电子邮件”GroupsAttribute“组织”
版权©英格兰vs伊朗让球RStudio,中国人民银行。版权所有