JumpCloud集成(使用SAML)#
英格兰vs伊朗让球RStudio Connect可以使用SAML身份验证提供者与公司的JumpCloud基础设施集成。
使用此集成,用户身份验证将被定向到JumpCloud服务。
JumpCloud集成(使用SAML)示例#
请注意
的SAML配置附录包含了关于每个SAML配置选项的信息。
重要的
虽然它通常不是必需的,但是服务器。地址
配置选项是当使用SAML安全地将SAML身份验证限制到特定地址时,需要这样做。
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(服务器)地址=英格兰vs伊朗让球rstudio.company.com(认证)提供者=“saml”(SAML)IdPMetaDataURL=“https://sso.jumpcloud.com/saml2/connectorname”IdPAttributeProfile=jumpcloud;启用此功能可以获得更好的用户体验,除非;管理大量的组是一个需要关注的问题:; GroupsAutoProvision = true;在尝试排除与SAML有关的问题时,;您可以通过启用以下行来启用更详细的日志记录;日志= true
提示
在上面的例子中,for的值IdPAttributeProfile
对应于一组与JumpCloud分配的属性相匹配的预定值。如果您需要关于这些个别值的更多详细信息,请参阅下面关于使用属性配置文件.
我们提供其他的例子如果您的环境限制要求更复杂的SAML配置,则在底部设置SAML配置。
配置#
方法启动JumpCloud配置身份提供者配置.但是,一些自定义配置可能需要作为配置的第一步之一提供服务提供者(Service Provider, SP)元数据。在这种情况下,英格兰vs伊朗让球RStudio连接服务提供程序配置您必须至少能够获得身份提供者元数据URL,或元数据的文件副本,或RStudio Connect所需的单个IdP信息。英格兰vs伊朗让球只有这样,您才能获得RStudio Connect英格兰vs伊朗让球服务提供者的元数据.
笔记#
在RStudio Connect中的英格兰vs伊朗让球用户搜索将只搜索已登录或通过RStudio Connect Server API创建的用户。
在RStudio Connect中搜索用户组将只英格兰vs伊朗让球搜索从用户登录中填充的组或通过RStudio Connect Server API创建的组。
强烈建议将RStudio Connect配置为监听使用TLS英格兰vs伊朗让球保护的端口,以确保以安全的方式将SAML登录断言发布到RStudio Connect服务器。看到HTTPS配置附录中列出了配置TLS时可用的选项列表。
由RStudio Connect发起的身份验证请求有效期为15分钟。英格兰vs伊朗让球如果从身份提供程序为用户发布了对过期请求的响应,则登录将失败,用户将需要发起一个新的请求。
RStudio Connect发起的身份验证请求的数量被限制为1000个并发尝试,在此之后,任何其他请英格兰vs伊朗让球求都将被拒绝,直到处理与开放请求相关的任何响应或其中一些请求过期为止。
身份提供者配置#
几乎所有idp都需要您定义和配置它们应该与之交互的服务提供者,包括RStudio Connect。英格兰vs伊朗让球他们可能使用不同的术语,但有三个信息你需要提供给IdP。
下面的前两项有时可以通过为SP提供元数据XML文档的方式在IdP中进行配置。在可用的情况下,这通常是可取的。完成IdP配置后,请参阅服务提供者配置章节了解更多详情。
服务提供者EntityID——这是唯一标识RStudio Connect为IdP服务提供商的字符串。英格兰vs伊朗让球这可能会以其他方式标记,比如,实体的ID,的名字,目的地,观众,观众的限制等。这通常是一个指向SP提供的元数据的URL,但不需要这样做。
您应该使用的值
https:// <主机名>:端口/ __login__ saml
对于RS英格兰vs伊朗让球tudio Connect,替换主机名
而且港口
是合适的。中指定的内容应该匹配服务器。地址
配置选项。警告
当使用上面的URL作为实体ID时,必须这样做,这一点很重要不包含一个拖
/
字符;这将阻止登录工作,因为IdP提供的观众字段将不匹配RStudio Connect将使用的实体ID。英格兰vs伊朗让球请注意
并不要求IdP能够访问这个URL。这意味着当您被请求此值时,不英格兰vs伊朗让球需要运行RStudio Connect。
主张消费服务——这是服务提供者中的一个URL, IdP将在这里发布身份验证响应(也称为断言)。这在IdP上发起身份验证时非常重要。这也可以被标记为单点登录网址,SSO URL,ACS的URL等。
您应该使用的值
https:// <主机名>(港口):/ __login__ saml / acs
对于RS英格兰vs伊朗让球tudio Connect,替换主机名
而且港口
是合适的。中指定的内容应该匹配服务器。地址
配置选项。警告
确保您提供的ACS URL不包含尾随斜杠。有一个将阻止登录工作。
属性映射——这是IdP中已知字段到将在身份验证响应中用于它们的属性名称的映射。它们通常以名称/值对的形式指定,尽管它们可能包含格式规范。英格兰vs伊朗让球RStudio Connect将所有格式处理为字符串。
每个名称都是在身份验证响应中知道其值的字符串,并且必须与RStudio Connect中指定的值匹配。英格兰vs伊朗让球
提示
如果您正在使用
IdPAttributeProfile
在with的例子中jumpcloud
,在你的IdP中搜索预先配置的RStudio Connect集成,它可能已经为你完成英格兰vs伊朗让球了属性映射,或查看使用属性配置文件部分,用于您应该在IdP映射中手动定义的值。不使用IdPAttributeProfile
是可能的,但它需要用每个用户属性的单独设置定义所有属性映射。访问上面的链接查看完整列表。
英格兰vs伊朗让球RStudio连接SAML元数据#
一些idp可以从服务提供者的元数据文件中配置其基本信息。英格兰vs伊朗让球RStudio Connect将提供其SAML元数据https:// <主机名>:端口/ __login__ saml
端点(与RStudio Connect的实体英格兰vs伊朗让球ID相同)。如果IdP接受SP元数据的URL(并且IdP有到达RStudio Connect的方法),您应该使用实体ID作为URL。英格兰vs伊朗让球如果IdP接受上传SP的元数据文件,则可以使用旋度
命令从RStudio Connect获取SAML元数据,如下所示:英格兰vs伊朗让球
Curl https://localhost:3443/__login__/saml——输出metadata.xml
以上假设您正在执行旋度
它将把元数据XML文档写入一个名为英格兰vs伊朗让球metadata.xml
在当前目录中。同样的命令,甚至一个浏览器,可以从任何RStudio Connect可以访问的地方使用。英格兰vs伊朗让球
警告
英格兰vs伊朗让球RStudio Connect只有在定义了IdP信息的最低有效SAML配置下运行时才能够提供元数据。
英格兰vs伊朗让球RStudio连接服务提供程序配置#
有两种方法可以配置RStudio Connect需要的关于您的SAML身份提供程序(或IdP)的英格兰vs伊朗让球信息,一种是通过使用IdP的元数据或通过使用特定的配置选项。强烈推荐使用元数据以便更方便地与您的IdP集成。
请注意
用户属性映射是配置的可选步骤。仅在使用时使用SAML。IdPAttributeProfile
是不够的,需要定制。
使用IdP的元数据#
要通过使用其元数据文件的本地副本来配置IdP,请使用SAML。国内流离失所者MetaDataPath
选择。或者,SAML。国内流离失所者MetaDataURL
选项可以设置为HTTPS(或HTTP) URL,从中可以从IdP检索元数据。
重要的
英格兰vs伊朗让球RStudio Connect要求将SAML IdP配置为对它发送的所有消息进行签名。因此,IdP的元数据必须包含签名证书。或者,如果使用特定选项,则使用SAML。国内流离失所者SigningCertificate
选项是必需的。
例如,
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataURL=https://idp.example.com/saml/metadata
告诉RStu英格兰vs伊朗让球dio Connect从给定的URL中提取IdP的元数据,而
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataPath=/ /本地/ dir / idp.xml
告诉RStu英格兰vs伊朗让球dio Connect从命名的、本地可访问的文件读取元数据。
警告
在RStudio Connect运行时,检索或读取的元数据被缓存。英格兰vs伊朗让球如果元数据在此期间过期,用户在过期后第一次尝试登录将导致元数据被重新检索或读取。如果元数据是仍然过期(就像从本地文件读取一样),登录将失败。只要元数据过期,其他登录尝试也会失败。现有的用户会话将继续正常运行。一些idp使用元数据过期来允许颁发新的签名证书,因此这对于基于url的元数据通常不是问题。如果使用基于文件的元数据,则错误将一直存在,直到更新元数据文件。一旦新的、未过期的元数据可用,登录将再次成功。
提供具体的自己#
如果由于某种原因,无法将IdP的元数据提供给RStudio Connect服务器,则可以使用英格兰vs伊朗让球SAML。国内流离失所者EntityID
,SAML。国内流离失所者SingleSignOnServiceURL
,SAML。国内流离失所者SigningCertificate
配置选项。
的SAML。国内流离失所者EntityID
选项用于标识IdP。由于所有标识提供程序都必须有一个公共名称,即这个实体ID,因此它用于验证是否从正确的系统接收到SAML消息。
的SAML。国内流离失所者SingleSignOnServiceURL
选项用来告诉RStudio Connect发送英格兰vs伊朗让球到哪里(via帖子
或重定向)试图登录的用户的身份验证请求。IdP系统必须监听这个URL以获取sp发起的登录。在RStudio Connect仅配英格兰vs伊朗让球置为idp发起的登录的情况下,这必须为IdP的用户登录页面。
的SAML。国内流离失所者SigningCertificate
指定密钥的公共端,IdP将使用该密钥对发送到RStudio Connect的消息进行签名。英格兰vs伊朗让球它可能是PEM文件或原始的Base64编码证书的路径。当不从元数据配置IdP信息时,此选项必须被指定。
除了SAML。国内流离失所者SigningCertificate
,如果你使用个人选项,你不得指定SAML。国内流离失所者MetaDataURL
选择或SAML。国内流离失所者MetaDataPath
选项,因为它将覆盖这些。如果存在此条件,在RStudio Connect启动期英格兰vs伊朗让球间将记录一个警告。
其他SAML选项#
根据其他IdP配置或安全需求,您可能需要在RStudio Connect SAML配置中添加更多选项,以便继续:英格兰vs伊朗让球
重要的
英格兰vs伊朗让球RStudio卡塔尔世界杯欧洲预选赛赛程表 Connect至少支持SAML的一个子集称为可互操作的SAML.
值得注意的是,目前缺少某些功能:
单注销
证书链验证
RelayState URL处理(不是SAML标准的一部分)
卡塔尔世界杯欧洲预选赛赛程表支持加密的断言和响应#
如果您(或您的IdP)希望IdP发布加密的SAML响应来完成登录操作,您需要使安全密钥对对双方都可用。IdP必须被赋予密钥对的公共证书端;如何做到这一点因IdP而异。密钥必须是RSA密钥对。的openssl
或ssh - keygen
命令是用于生成新密钥对的最常用工具。参考所选工具的文档;目标是创建两个PEM文件,一个带有私钥,另一个带有公共证书。
使用SAML。SPEncryptionKey
配置选项向RStudio Connect提供密钥对的私有部分。英格兰vs伊朗让球如果您希望启用加密支持,则必须提供它。卡塔尔世界杯欧洲预选赛赛程表必须是PEM格式的RSA私钥文件的路径。
使用这个选项SAML。SPEncryptionCertificate
向RStudio Connect提供公共证书。英格兰vs伊朗让球这样做可以将证书包含在RStudio Connect将生成的SP元数据中。英格兰vs伊朗让球
卡塔尔世界杯欧洲预选赛赛程表支持签名身份验证请求#
请注意
所有SAML反应必须由你的IdP签字。本节讨论RStudio Connect本身是否会向您的IdP发送已签名的S英格兰vs伊朗让球AML消息。在大多数情况下,这不是必需的,可以跳过本节。
如果您(或您的IdP)希望RStudio Conne英格兰vs伊朗让球ct签署用于sp发起的登录流的SAML身份验证请求,那么您需要确保安全密钥对对双方都是可用的。IdP必须被赋予密钥对的公共证书端;如何做到这一点因IdP而异。密钥必须是RSA密钥对。的openssl
或ssh - keygen
命令是用于生成新密钥对的最常用工具。参考所选工具的文档;目标是创建两个PEM文件,一个带有私钥,另一个带有公共证书。
请注意
用于加密的证书和RSA私钥也可以用于签名请求。如果已经配置了加密,则不需要额外的密钥。
使用SAML。SPSigningKey
配置选项向RStudio Connect提供密钥对的私有部分。英格兰vs伊朗让球如果希望请求启用签名支持,则必须提供加密密钥或签名密钥。卡塔尔世界杯欧洲预选赛赛程表必须是PEM格式的RSA私钥文件的路径。
使用这个选项SAML。SPSigningCertificate
向RStudio Connect提供公共证书。英格兰vs伊朗让球这样做可以将证书包含在RStudio Connect将生成的SP元数据中。英格兰vs伊朗让球
警告
英格兰vs伊朗让球RStudio Connect只接受单个密钥对。您可以使用密钥对这两个加密和签名请求或一个只是为了签下。目前不支持用于签名和加密的不同密钥对。卡塔尔世界杯欧洲预选赛赛程表
您还需要知道您的IdP支持的签名方法是什么。卡塔尔世界杯欧洲预选赛赛程表可用的选项有sha1
,sha256
而且sha512
.您的选择需要在SAML。SPRequestSigningMethod
选择。如果有疑问,那就去尝试sha256
首先,它在安全性和兼容性之间提供了很好的平衡。
请注意
通过使用上面列出的签名方法之一,RStudio Connect元数据将包含一个英格兰vs伊朗让球“签署”
证书,将具有该属性AuthnRequestsSigned
与真正的
价值。
SAML绑定#
使用SAML。国内流离失所者SingleSignOnPostBinding
选项来说明您是否希望使用RStudio Connect英格兰vs伊朗让球帖子
绑定(真正的
)或重定向绑定(假
当RStudio Connect使用您的英格兰vs伊朗让球IdP启动单点登录操作时,默认值为。重定向是最常见的选择。
如果你使用帖子
绑定后,RStud英格兰vs伊朗让球io Connect将返回一个隐藏的HTML表单,该表单将自动提交到IdP单点登录页面,该页面将显示出来,或者如果用户已经登录,则继续完成登录过程并将用户登录到Connect。
如果IdP是通过它的元数据配置的,RStudio Connect将验证IdP使用这里英格兰vs伊朗让球请求的绑定使SSO位置可用。如果IdP元数据表示支持多个绑定,则卡塔尔世界杯欧洲预选赛赛程表SAML。国内流离失所者SingleSignOnPostBinding
选项控制将使用哪个选项。
单点登录启动#
SAML规范允许由IdP或SP发起的单点登录流SAML。SSOInitiated
选项来控制这个。有三种可能的值。
国内流离失所者—这表明单点登录只能在IdP启动。在这种模式下,终端用户必须访问其IdP的登录页面,并选择RStudio Connect作为要使用的服务提供者。英格兰vs伊朗让球
请注意
在这种模式下,你将不能使用IdP的元数据来配置IdP的信息;您需要使用单独的配置选项。当使用IdP初始化身份验证时,从RStudio IDE发布时会出现问题。英格兰vs伊朗让球由于IDE只能知道RStudio Connect, RStudio 英格兰vs伊朗让球Connect必须通过返回一个“盲”重定向到IdP的登录页面来响应。必须在
SAML。国内流离失所者SingleSignOnServiceURL
配置选项。IdPAndSP—这表明单点登录可以由IdP或RStudio Connect发起。英格兰vs伊朗让球在这种情况下,请注意RStudio IDE将始终使用服务英格兰vs伊朗让球提供者初始化的流。这是默认设置。
SP—这表明单点登录只能由RStudio Connect启动。英格兰vs伊朗让球在这种模式下,idp发起的登录将失败,因为RStudio Connect没有发送匹配的身份验证请求。英格兰vs伊朗让球
名称标识格式#
当SAML IdP向服务提供者标识经过身份验证的用户时,该用户(通常)由SAML称为“NameID
”。这个名称ID有四种可能的格式。IdP可能为此支持多个值卡塔尔世界杯欧洲预选赛赛程表。使用SAML。NameIDFormat
选项告诉RStudio Con英格兰vs伊朗让球nect你的IdP将使用哪一个。这可能被设定为瞬态
,持续的
,emailAddress
或未指明的
;如果未提供此选项,则使用最后一个选项。如果指定IdP属性配置文件SAML。国内流离失所者AttributeProfile
(见下文)配置文件中的NameID格式将优先于此选项。
如果显式定义了NameID格式,则可以使用概要文件或SAML。NameIDFormat
选项,它将包括作为SAML SP元数据的一部分RStudio连接将从它的英格兰vs伊朗让球/ __login__ saml
URI。即使将格式设置为未指明的
.如果SAML。NameIDFormat
选项被省略,SP元数据将不会提及NameIDFormat
.看到SAML的元数据部分,以了解更多关于SP元数据的详细信息。
如果IdP是通过其元数据配置的而且的元数据发布IdP支持的格式时,RStudio Connect将验证英格兰vs伊朗让球卡塔尔世界杯欧洲预选赛赛程表SAML。NameIDFormat
或从IdP属性配置文件选项,IdP使用以下规则支持:卡塔尔世界杯欧洲预选赛赛程表
如果“RStudio Connect”配置的值为英格兰vs伊朗让球
未指明的
,来自IdP的任何值都将被接受。如果为RStudio Connect配置的值是其他值,那英格兰vs伊朗让球么如果它出现在IdP格式列表中,则它将被接受。如果IdP列表包含
未指明的
连接格式为不在该列表中,它将被接受,但将记录一个警告,指出可能需要调整配置。在这种情况下,这可能行得通,也可能行不通,这取决于你的特定IdP。
用户属性映射#
当用户通过IdP进行身份验证时,关于用户的某些数据可能包含在身份验证响应中。这些通常被称为属性,断言属性或索赔.为了使RStud英格兰vs伊朗让球io Connect能够正确地管理其用户信息,它需要了解这些信息。由于此映射包含Name ID,因此适当的SAML。NameIDFormat
,因为该ID也包含在概要文件中。
请注意
从SAML断言属性映射的用户字段在所有后续成功登录时都将被更新(如果它们更改)。
英格兰vs伊朗让球当SAML身份验证断言包含组成员信息时,RStudio Connect可以自动将用户分配给组。
有两种方法告诉RStudio Connect数据是如何英格兰vs伊朗让球映射的,使用属性配置文件,优先选择指定属性你自己.
使用属性配置文件#
有时RStudio会提前知道特定IdP的字英格兰vs伊朗让球段映射应该是什么。在这种情况下,RStudio Connect的数据库中将提供一个适当的属性配置文件。英格兰vs伊朗让球
使用SAML。国内流离失所者AttributeProfile
配置选项来指定RStudio Connect应该使用的配置文件。英格兰vs伊朗让球默认情况下,这将启用组成员信息的映射。如果你想使用配置文件不想要使用分组,设置SAML。国内流离失所者AttributeProfileGroups
配置选项假
.如果指定了概要文件,则不能指定任何SAML。UniqueIDAttribute
,SAML。NameIDFormat
,SAML。使用rnameAttribute
,SAML。FirstNameAttribute
,SAML。LastNameAttribute
,SAML。电子邮件Attribute
或SAML。组Attribute
选项,因为它们将被概要文件覆盖。如果存在此条件,在RStudio Connect启动期英格兰vs伊朗让球间将记录一个警告。
请注意
如果SAML。国内流离失所者AttributeProfile
,那么它将覆盖任何其他IdP属性名称选项。看到附录为更多的信息。
下面是对每个“jumpcloud”配置文件和断言名称的描述,预期显示为它们各自的设置等价物。看到SAML属性节中有关各个配置选项的详细信息。
的jumpcloud
配置文件#
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)UniqueIDAttribute=NameIDNameIdFormat=emailAddressUsernameAttribute=用户名FirstNameAttribute=FirstNameLastNameAttribute=姓EmailAttribute=NameIDGroupsAttribute=组
重要的
属性配置文件从来没有定义一个SAML。RoleAttribute
与…一起使用用户角色映射.如果希望按每个用户进行角色映射(与按组成员关系进行映射相反),则应该在配置文件之外定义该配置选项的值。
指定属性你自己#
重要的
在RStudio Connect中,SAML属性名的匹配是区分大小写的。英格兰vs伊朗让球
使用SAML。使用rnameAttribute
,SAML。FirstNameAttribute
,SAML。LastNameAttribute
而且SAML。电子邮件Attribute
配置选项,以设置要在获取相关值时查找的属性的名称。对于每一个不指定(当不使用属性配置文件时),RStudio Connect将承担字段的管理,使它们在Conne英格兰vs伊朗让球ct仪表板中可编辑。如果希望使用组信息,请使用SAML。组Attribute
选项设置要查找的属性的名称。这允许将用户自动添加到在Connect中手动创建的组中。
请注意
设置SAML。国内流离失所者AttributeProfile
将覆盖各个属性设置。确保没有定义此设置。
生成的用户名#
你必须包括SAML。使用rnameAttribute
或者是SAML。电子邮件Attribute
选项(或两者)。如果您没有配置用户名属性,或者SAML或其背后的身份验证机制没有提供用户名属性,RStudio Connect将在用户第一次登录时为该用户创建一个新的惟一用户名。英格兰vs伊朗让球用户名将从用户的电子邮件地址派生而来,没有域,根据需要添加一个数字后缀以保持惟一性。这些用户名是可编辑的。
在设置中使用此功能SAML。使用rnameAttribute
应该强制为空值(""
)和包含用户电子邮件的标题必须在设置中进行配置SAML。电子邮件Attribute
.
这些生成的用户名以后可以由用户自己或管理员修改,只要它们保持唯一即可。英格兰vs伊朗让球否则RStudio Connect将拒绝更改用户名。
请注意
强烈建议在可能存在重复用户名的配置与用户名唯一的配置之间切换。方法确保用户名的唯一性usermanager
在重新启动RStudio Connect之前使用CLI英格兰vs伊朗让球工具。看到用户管理CLI附录了解更多信息。
用户配置#
身份验证将完全在您的SAML身份提供程序的基础结构中进行,一旦完成,将向RStudio Connect返回远程用户信息。英格兰vs伊朗让球
首次登录时进行注册#
默认情况下,当用户第一次成功登录时,可以在RStudio Connect英格兰vs伊朗让球中创建用户。控件中指定的角色将创建帐户授权。DefaultUserRole
设置(见用户角色)或通过用户角色映射如果配置。否则,角色可以指定为在仪表板中手动添加用户或通过RStudio Connect Server API添加用户。英格兰vs伊朗让球
禁止首次登录时注册#
SAML。RegisterOnFirstLogin
可用于通过登录行为禁用注册。
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)RegisterOnFirstLogin=假
重要的
使用此选项需要通过RStudio Connect Server API专门创建用户。英格兰vs伊朗让球
用户名#
用户名由SAML身份验证服务提供者在外部定义。
然而,RStudi英格兰vs伊朗让球o Connect对它支持的用户名施加了一些额外的限制:卡塔尔世界杯欧洲预选赛赛程表
- 禁止使用以下值:
连接
,应用程序
,用户
,组
,向setpassword
,user-completion
,确认
,最近
,报告
,情节
,未发表的
,设置
,指标
,令牌
,帮助
,登录
,欢迎
,注册
,resetpassword
,内容
SAML提供程序返回的用户名不需要是唯一的SAML。使用rnameAttribute
配置。
请注意
当发布到英格兰vs伊朗让球同一个RStudio Connect主卡塔尔世界杯欧洲预选赛赛程表机时,RStudio Studio IDE不支持重复的用户名。但是,具有相同用户名的两个用户不太可能共享相同的IDE帐户或工作站。
如果您的SAML IdP没有用户名的概念,RStudio Connect可以根据用户的电子邮件地址生成用户名英格兰vs伊朗让球。看到生成的用户名获取详细信息。
惟一的ID#
的值之外NameIDFormat
(描述以上中定义的属性在Connect中唯一标识用户SAML。UniqueIDAttribute
指定的配置文件中的相同字段SAML。国内流离失所者AttributeProfile
.这个默认值“NameID”
它是经过身份验证的主体的标准标识符,与不同的SAML身份提供程序具有广泛的兼容性。如果您的IdP设置为使用瞬态格式的名称id,则此值必须指定为NameID
.
警告
用户由其惟一标识惟一的ID在IdP系统中。如果R英格兰vs伊朗让球Studio Connect显示一个从未见过的惟一ID,它将创建一个新用户。
请注意
的值。SAML。UniqueIDAttribute
必须完全匹配字段unique_id
用于通过Connect Server API创建新用户。一旦创建了用户,RStudio Connect标识(英格兰vs伊朗让球guid
)应该用于该用户的后续API操作。
用户的唯一ID需要映射到SAML主题的Name ID或到Identity Provider(或IdP)断言属性,因此,在RStudio Connect中是不可编辑的。英格兰vs伊朗让球
编辑用户属性#
在RStudio Connect中,出现在SAML断言中的用户配置文件字段是不可编辑的。英格兰vs伊朗让球
请注意
控件在登录之前强制更新不可编辑字段usermanager
CLI的工具。看到用户管理CLI附录。
用户的用户名、名、姓和电子邮件地址可以从任何SAML断言属性映射。如果未配置映射,则相应的字段将在RStudio Connect中可编辑英格兰vs伊朗让球授权。使用rInfoEditableBy
配置选项。
对映射到用户的SAML断言属性的字段的更改(例如,用户的姓名、电子邮件地址或用户名)将不会传播到RStudio Connect,直到该用户下次登录。英格兰vs伊朗让球
对于没有属性映射的字段,使用授权。使用rInfoEditableBy
将控制谁可以编辑它们。该选项的默认值为AdminAndSelf
,允许用户和管理员管理这些用户配置文件属性。配置授权。使用rInfoEditableBy
与管理
配置文件的编辑是否仅限于管理员。
提示
如果禁用,建议禁用SAML。RegisterOnFirstLogin
的值假
,您也可以配置授权。使用rInfoEditableBy
来管理
.的值管理
指由管理员创建的用户不能被非管理员修改。
编辑用户角色#
用户角色仅在RStudio Connect中可编辑英格兰vs伊朗让球用户角色自动映射没有配置,而且SAML身份验证提供程序没有配置为将角色作为用户概要文件的一部分发送进来。
用户角色自动映射#
英格兰vs伊朗让球当用户登录时,RStudio Connect可以根据来自SAML身份提供程序的信息自动为用户分配角色。角色可以从以下两个来源之一分配:SAML集团成员资格,或SAML用户配置文件属性。
警告
不能同时使用用户配置文件属性和组成员关系来确定用户角色。英格兰vs伊朗让球如果两个功能的配置选项,RStudio Connect将无法启动,授权。使用rRoleGroupMapping
而且授权。使用rRoleMapping
,设置为真正的
.
使用组成员#
重要的
使用SAML组成员关系来确定用户角色会阻止您使用本地管理组.
要根据SAML组成员关系设置用户角色,请设置配置选项授权。使用rRoleGroupMapping
来真正的
.
当启用此功能时,请使用配置选项授权。ViewerRoleMapping
,授权。PublisherRoleMapping
,授权。管理是tratorRoleMapping
指定要分配给该角色的组的名称。若要将单个角色分配给多个组,请多次使用相应的选项,每次都指定单个组名。
请注意
当按唯一ID分组使用时,角色映射应该给出组的Unique id,而不是组的名称。
在下面的例子中,组开发人员
为发布者角色,而组Dev-Leaders
而且it管理员
被赋予Administrator角色。没有组被显式地赋予Viewer角色,但是所有其他用户将通过授权。DefaultUserRole
选项,默认为查看器
.
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(授权)UserRoleGroupMapping=真正的PublisherRoleMapping=“开发人员”AdministratorRoleMapping=“Dev-Leaders”AdministratorRoleMapping=“it管理员”
使用用户配置文件属性#
要使用SAML断言中的属性自动设置用户角色,请在SAML。RoleAttribute
配置选项。这个属性永远不会通过IdP属性配置文件自动设置;必须显式地设置它。
如果指定的属性包含确切的值查看器
,出版商
而且管理员
,不需要其他操作。
如果指定的属性不包含确切的值查看器
,出版商
而且管理员
,您必须提供预期的值。为此,设置配置选项授权。使用rRoleMapping
来真正的
.然后,使用配置选项授权。ViewerRoleMapping
,授权。PublisherRoleMapping
,授权。管理是tratorRoleMapping
为每个角色指定一个值。若要为一个角色指定多个值,请多次使用相应的选项。
中的部门名称部门
属性用于为用户分配角色。注意,Viewer角色被赋予了这两个角色人力资源
而且市场营销
.
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML);[其他SAML IdP配置属性]RoleAttribute=“部门”(授权)UserRoleMapping=真正的ViewerRoleMapping=“人力资源”ViewerRoleMapping=“市场营销”PublisherRoleMapping=“工程”AdministratorRoleMapping=“它”
请注意
当用户配置文件中的角色属性与配置的任何一个都不匹配时,该用户将被分配为默认角色。这个默认值查看器
,可以配置授权。DefaultUserRole
.用户角色不匹配会包含在RStudio Connect日志中英格兰vs伊朗让球SAML。日志记录
启用。
多用户角色映射#
当配置的映射与身份验证提供者发送的用户或组信息之间存在多个匹配时,将选择权限最多的角色。这种行为可以很容易地将用户提升到一个新角色。
请注意
如果考虑到安全问题,可以在这些场景中使用配置选项的更严格的行为授权。使用rRoleMappingRestrictive
.当启用时,它将导致选择特权最小的角色。
SAML组成员管理#
英格兰vs伊朗让球RStudio Connect可以配置为根据您的SAML身份提供程序(IdP)发送的组名列表自动将用户分配到现有组。对于每次登录尝试,接收到的组名列表将与用户当前的成员身份进行比较,将用户添加为新列出的组的成员,并将用户从不再列出的组中删除。
使用的设置SAML。组Attribute
或选择SAML IdP配置文件SAML。国内流离失所者AttributeProfile
它将自动定义这个设置。
请注意
IdP发送的组列表将覆盖手动或通过Connect Server API定义的任何成员关系。然而,这些操作仍然可以在登录尝试之间使用,以保持组成员关系与IdP同步。
手工组配置#
管理员可以使用RStudio Connect仪表板中的“People”选项卡向SAML英格兰vs伊朗让球托管组“添加”引用。RStudio Connect用户的组成英格兰vs伊朗让球员关系将仅针对这些组被跟踪,而不是从您的SAML IdP返回的整个组列表。
提示
这是默认的行为,当RStudio Connect用户与大量组相关联时,这是一个很好的选择,但其中只有一部分对内容访英格兰vs伊朗让球问控制有用。
警告
在通过仪表板中的“people”或通过Connect Server API删除组时应格外小心。删除一组也会移除所有关联吗在被删除的组和现有内容之间。
自动组配置#
除了成员资格之外,RStudio Connect还可以配英格兰vs伊朗让球置为根据IdP发送给用户的组名列表自动提供(创建)新的组。可以使用SAML。组AutoProvision
这意味着当用户登录时,将在RStudio Connect中为用户创建尚未存在的组。英格兰vs伊朗让球即使在最后一个成员被删除之后,这些组仍将无限期保留,以便为这些组的未来成员保留对内容的任何访问。
提示
删除过时或未使用的组可以通过仪表板、RStudio Connect Server API或最终通过英格兰vs伊朗让球usermanager
CLI。
手动与自动切换组分配#
通过自动配置创建的组没有所有者,而手动创建的组或通过Connect Server API创建的组总是与用户关联。
英格兰vs伊朗让球如果现有组的所有权与提供者配置不匹配,RStudio Connect将在启动时发出警告。
在这些情况下,要么需要删除组,要么需要调整组所有权。这可以用usermanager
CLI工具使用改变
命令使用——新主人
或——drop-owner
开关。
目标是,如果您打算在RStudio Connect中管理所有自动配置的组,那么应该为它们分配一个所有者。英格兰vs伊朗让球相反,如果您希望由身份验证提供程序管理所有组,则应该删除组的所有者。此外,您应该删除在新配置中没有意义的任何组,这可以通过Connect仪表板、Connect Server API或usermanager
.看到用户管理CLI附录了解更多。
本地管理组#
如果您不想使用SAML组,您仍然可以在RStudio Connect中使用组。英格兰vs伊朗让球这些组与你的IdP中的组没有关系。
重要的
如果你使用SAML。国内流离失所者AttributeProfile
并且希望使用本地组,您必须设置配置选项SAML。国内流离失所者AttributeProfileGroups
来假
然后离开SAML。组Attribute
未定义的。
本地管理的组可以在RStudio Connect的仪表板中创建,也可以通过Conn英格兰vs伊朗让球ect Server API创建。必须使用相同的方法管理组成员。
提示
如果在RStudio Connect中完全不需要组,请设置英格兰vs伊朗让球授权。用户组
配置选项假
.
匹配组的标识符#
默认情况下,RStudi英格兰vs伊朗让球o Connect会将SAML IdP发送的组列表与RStudio Connect中存在的组的名称进行匹配。一些SAML提供程序不发送组名,而是使用它们的惟一标识符(如guid)。
组织的名字#
当您的SAML IdP发送组名时,可以使用RStudio Connect使用区分大小写的字符串比较来匹配组的默认行为。英格兰vs伊朗让球
重要的
如果组在您的SAML IdP中被重命名,它们将被识别为新组。取决于设置SAML。组AutoProvision
,这些新组要么被添加,要么被忽略。在任何情况下,旧的组都不会被重命名或从内容acl中删除。您仍然可以在RStudio Connect中重命名一个组,以匹配英格兰vs伊朗让球您的IdP中的组名,以保留与内容的所有关联。如果通过自动分配创建了同名的重复组,则必须首先删除这个新组。
按唯一ID分组#
为了支卡塔尔世界杯欧洲预选赛赛程表持SAML IdP为组发送唯一标识符(而不是组的名称)的场景,可以通过使用该设置配置RStudio Connect来匹配这些标识符英格兰vs伊朗让球SAML。组ByUniqueId
.
警告
这被认为是RStudio Connect中的一个高级功能。英格兰vs伊朗让球通过标识符而不是名称来标识组需要对所有组管理工作流程使用RSt英格兰vs伊朗让球udio Connect Server API。在这个场英格兰vs伊朗让球景中,RStudio Connect Dashboard不允许组管理,除非将组与某些内容关联起来,这仍然是可能的。
必须使用Connect Server API在RStudio Connect中提供由唯一标识符标识的组。英格兰vs伊朗让球API调用允许组的关联unique_id
(与SAML IdP在身份验证期间发送的名称相同),具有用户友好的名称,通常与IdP中使用的名称相同。英格兰vs伊朗让球在这种情况下,RStudio Connect不会强制使用唯一的组名。
重要的
当SAML。组ByUniqueId
启用,SAML。组AutoProvision
可以不被启用。这将导致在RStudio Connect中创建没有意义名称的组,因为IdP将只提供一个惟一ID。英格兰vs伊朗让球
切换群组身份#
最好,GroupsByUniqueId
在RStudio Connect中有任何组之前,都应该启用。英格兰vs伊朗让球如果已经创建了任何组,并且希望使用此选项,强烈建议运行usermanager——组织——normalize-ids
命令使这些现有组在新的设置下正常工作。看到用户管理CLI附录了解更多。的usermanager
如果您决定禁用,也应该运行上面的命令GroupsByUniqueId
在以后的时间里。
使用多个网络别名使用SAML进行身份验证#
默认情况下,RStudi英格兰vs伊朗让球o Connect将只允许对配置在服务器。地址
设置。这是首选的,也是最安全的方法。
如果您打算允许从多个网络别名(例如不同的DNS条目)或通过多个代理或同时在防火墙前后使用SAML身份验证,则必须通过SAML。SSOFollowHTTPHeaders
设置。一旦启用,服务器。地址
将被忽略,而使用HTTP报头来确定服务器协议、主机名和端口。
我们建议代理添加X-RSC-Request
头的请求。的值X-RSC-Request
头应该是客户端发出的原始请求的绝对URL。https://connect.proxy.company.com <: port > / /一些/路径
).
一些代理(例如Amazon Web Services Elastic Load Balancer)不允许添加自定义头文件。如果X-RSC-Request
标头不提供,标准标头X-Forwarded-Proto
,X-Forwarded-Host
,X-Forwarded-Port
在“尽最大努力”确定原始请求URL时使用。
的X-Forwarded
当代理执行路径重写时,头文件是不合适的https://proxy.company.com/rsc/
).使用X-RSC-Request
当path-rewriting。X-RSC-Request
当两者同时存在时优先X-RSC-Request
和X-Forwarded
头提供。
如果没有这些标头,则宿主
标头,协议或方案(http
或https
)将根据是否配置TLS/SSL并使用它进行身份验证尝试而选择。
请注意
仅依赖报头来确定SAML的服务提供者位置存在安全风险。强烈建议在RStudio Connect前面放置一个代理或其他网络服务,以确保不可能发送包含上述带有恶意地址的报头之一的请求。英格兰vs伊朗让球
其他配置示例#
在本例中,配置使用带有单个用户属性名的元数据。
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataURL=https://idp.example.com/saml2/metadataNameIDFormat=持续的UsernameAttribute=“用户名”FirstnameAttribute=“FirstName”LastnameAttribute=“姓”EmailAttribute=“电子邮件”GroupsAttribute=“组织”
这是一个更复杂的SAML配置示例。当元数据不可用或不能使用时,它使用单独的设置。单点登录只能由IdP发起,Connect将重定向到IdP上的登录页面,如果在Connect中首次尝试身份验证(这将发生在RStudio IDE中),签名证书,加密密钥和证书是PEM文件和because的路径英格兰vs伊朗让球瞬态
被用来UniqueIDAttribute
除了NameID
.
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)SSOInitiated=国内流离失所者IdPEntityID=https://idp.example.com/saml2/metadataIdPSingleSignOnServiceURL=https://idp.example.com/loginIdPSigningCertificate=/ / sign.cer /路径SPEncryptionKey=/ / rsa.key /路径SPEncryptionCertificate=/ / pem.cer /路径NameIDFormat=瞬态UniqueIDAttribute=“GUID”UsernameAttribute=“用户名”FirstnameAttribute=“FirstName”LastnameAttribute=“姓”EmailAttribute=“电子邮件”GroupsAttribute=“组织”