跳到内容

与SAML的身份验证集成

如果您公司的身份验证基础设施支持SAML,您可以使用RStudio Connect SAML身份卡塔尔世界杯欧洲预选赛赛程表验证提供程序来集成这两个系统。英格兰vs伊朗让球

使用此集成,用户身份验证将与您的身份提供程序一起完成。

SAML集成实例

请注意

SAML配置附录包含关于每个SAML配置选项的信息。

重要的

虽然通常不是必需的,但是服务器。地址配置选项当使用SAML安全地将SAML身份验证限制到特定地址时,这是必需的。

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(服务器)地址英格兰vs伊朗让球rstudio.company.com(认证)提供者“saml”(SAML)IdPMetaDataURL“https://keycloak.lvh.me/auth/realms/rsconnect/protocol/saml/descriptor”IdPAttributeProfile默认的;启用此功能以获得更好的用户体验,除非;管理大量的组是一个问题:GroupsAutoProvision = true;在尝试排除与SAML有关的问题时,;通过启用下面的行,可以启用更详细的日志记录日志= true

提示

在上面的例子中,值为IdPAttributeProfile对应于与您的身份提供程序所分配的属性相匹配的一组预先确定的值。如果您需要关于这些单独值的更多详细信息,请参阅下面关于使用属性配置文件

我们提供其他的例子如果您的环境约束要求一个更复杂的SAML配置。

配置

一些idp将要求您手动输入关于RStudio Connect的信息作为SAML配置的第一步。英格兰vs伊朗让球在这种情况下,你应该从你的身份提供者配置,一旦完成,继续进行英格兰vs伊朗让球RStudio连接服务提供者配置

其他idp将要求您在配置的第一步中提供Service Provider (SP)元数据。在这种情况下,英格兰vs伊朗让球RStudio连接服务提供者配置应该首先完成,并且您必须至少获得身份提供者SAML元数据URL,或元数据的文件副本,或RStudio Connect所需的单个IdP信息。英格兰vs伊朗让球只有这样,您才能获得RStudio Connect英格兰vs伊朗让球服务提供者元数据

笔记

  • 英格兰vs伊朗让球RStudio卡塔尔世界杯欧洲预选赛赛程表 Connect只支持SAML 2.0。

  • 在RStudio Connect中的英格兰vs伊朗让球用户搜索将只搜索已经登录或通过RStudio Connect服务器API创建的用户。

  • 在RStudio Connect中搜索用户组将只英格兰vs伊朗让球搜索从用户登录中填充的组或通过RStudio Connect服务器API创建的组。

  • 强烈建议将RStudio Connect配置为侦听使用TLS英格兰vs伊朗让球保护的端口,以确保以安全的方式将SAML登录断言发布到RStudio Connect服务器。看到HTTPS配置附录中列出了配置TLS时可用的选项。

  • 由RStudio Connect发起的身份验证请求的有效期为15分钟。英格兰vs伊朗让球如果身份提供者为用户发布了对过期请求的响应,则登录将失败,用户将需要发起新的请求。

  • 由RStudio Connect发起的身份验证请求的数量被限制为1000个并发尝试,在此之后,任何其他英格兰vs伊朗让球请求将被拒绝,直到与开放请求相关的任何响应被处理或其中一些请求过期为止。

身份提供者配置

几乎所有idp都需要定义和配置它们应该与之交互的服务提供者,包括RStudio Connect。英格兰vs伊朗让球他们可能使用不同的术语,但你需要向IdP提供三项信息。

下面的前两项有时可以通过为SP提供元数据XML文档的方式在IdP中进行配置。如果可用,这通常是可取的。完成IdP配置后,请参见服务提供商配置部分了解更多详细信息。

  • 服务提供者实体id——这是一个字符串,唯一地将RStudio Connect标识为IdP的服务提供商。英格兰vs伊朗让球这可以用其他方式来标记,比如,实体的ID的名字目的地观众观众的限制等。这通常是一个指向SP提供的元数据的URL,但并不需要如此。

    您应该使用值https:// <主机名>:端口/ __login__ saml对于RS英格兰vs伊朗让球tudio Connect,替换主机名而且港口是合适的。类中指定的内容应该匹配服务器。地址配置选项。

    警告

    重要的是,当使用上述URL作为实体ID时,它必须包含一个拖尾/字符;这将阻止登录工作,因为IdP提供的受众字段将不匹配RStudio Connect将使用的实体ID。英格兰vs伊朗让球

    请注意

    并不要求IdP能够访问此URL。这意味着当您被要求获取此值时英格兰vs伊朗让球,RStudio Connect不需要运行。

  • 断言消费服务——这是服务提供者中的一个URL, IdP将在其中发布身份验证响应(也称为断言)。在IdP上启动身份验证时,这很重要。这也可以被标记为URL单点登录SSO URLACS的URL等。

    您应该使用值https:// <主机名>(港口):/ __login__ saml / acs对于RS英格兰vs伊朗让球tudio Connect,替换主机名而且港口是合适的。类中指定的内容应该匹配服务器。地址配置选项。

    警告

    确保您提供的ACS URL不包含结尾斜杠。使用它将阻止登录工作。

  • 属性映射——这是IdP中已知字段到将在身份验证响应中用于它们的属性名的映射。它们通常以名称/值对的形式指定,尽管它们可能包含格式规范。英格兰vs伊朗让球RStudio Connect将所有格式处理为字符串。

    每个名称都是在身份验证响应中知道其值的字符串,并且必须与RStudio Connect中指定的值匹配。英格兰vs伊朗让球

    提示

    如果您正在使用IdPAttributeProfile如在with的例子中默认的,看看使用属性配置文件部分中您应该在IdP映射中手动定义的值。不使用IdPAttributeProfile是可能的,但这需要为每个用户属性定义具有单独设置的所有属性映射。访问上面的链接以获得完整的列表。

英格兰vs伊朗让球RStudio连接SAML元数据

一些idp可以从服务提供者的元数据文件中配置其基本信息。英格兰vs伊朗让球RStudio Connect将从https:// <主机名>:端口/ __login__ saml端点(与RStudio Connect的实体英格兰vs伊朗让球ID相同)。如果IdP接受SP元数据的URL(并且IdP有办法到达RStudio Connect),您应该使用实体ID作为URL。英格兰vs伊朗让球如果IdP接受SP元数据文件的上传,则可以使用旋度命令从RStudio Connect获取SAML元数据,如下所示:英格兰vs伊朗让球

Curl https://localhost:3443/__login__/saml—输出metadata.xml

以上假设您正在执行旋度从运行RStudio Connect的机器上删英格兰vs伊朗让球除,并将元数据XML文档写入名为metadata.xml在当前目录。可以在RStudio Connect可访问的任何地方使用相同的命令,甚至是浏览器。英格兰vs伊朗让球

警告

英格兰vs伊朗让球RStudio Connect只有在使用定义了IdP信息的最低限度有效SAML配置运行时才能提供元数据。

英格兰vs伊朗让球RStudio连接服务提供者配置

有两种方法可以配置RStudio Connect所需的关于您的SAML身份提供程序(或IdP)的英格兰vs伊朗让球信息使用IdP的元数据或通过使用特定的配置选项。强烈推荐使用元数据使您的IdP更容易整合。

请注意

用户属性映射是配置的可选步骤。只有在使用时才需要SAML。IdPAttributeProfile是不够的,需要定制。

使用IdP的元数据

若要通过使用其元数据文件的本地副本来配置IdP,请使用SAML。国内流离失所者MetaDataPath选择。或者,SAML。国内流离失所者MetaDataURL选项可以设置为HTTPS(或HTTP) URL,从中可以从IdP检索元数据。

重要的

英格兰vs伊朗让球RStudio Connect要求将SAML IdP配置为对它发送的所有消息进行签名。因此,IdP的元数据必须包含签名证书。或者,如果您正在使用特定的选项,则SAML。国内流离失所者SigningCertificate选项是必需的。

例如,

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataURLhttps://idp.example.com/saml/metadata

告诉RStu英格兰vs伊朗让球dio Connect从给定的URL中提取IdP的元数据,然而

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataPath/ /本地/ dir / idp.xml

告诉RStu英格兰vs伊朗让球dio Connect从已命名的本地可访问文件中读取元数据。

警告

检索或读取的元数据在RStudio Connect运行时被缓存。英格兰vs伊朗让球如果元数据在这段时间内过期,用户在过期后第一次尝试登录将导致元数据再次被检索或读取。如果元数据是仍然过期(就像从本地文件读取一样),登录将失败。只要元数据过期,其他登录尝试也将失败。现有的用户会话将继续正常运行。一些idp使用元数据过期来允许颁发新的签名证书,因此这对于基于url的元数据来说通常不是问题。如果使用基于文件的元数据,错误将一直存在,直到更新元数据文件。一旦新的、未过期的元数据可用,登录将再次成功。

重要的

SAML元数据可以包含一个或多个idp的设置。如果您的元数据包含多个IdP的设置,则设置SAML。国内流离失所者EntityID必须配置与您的IdP的正确元数据条目匹配的实体ID。特殊的习惯通常需要这个额外的步骤。

自己提供细节

如果由于某种原因,某个IdP的元数据不能提供给RStudio Connect服务器,您可以使用英格兰vs伊朗让球SAML。国内流离失所者EntityIDSAML。国内流离失所者SingleSignOnServiceURL,SAML。国内流离失所者SigningCertificate配置选项。

SAML。国内流离失所者EntityID选项用于标识IdP。由于所有身份提供者都必须有一个公共名称,即这个实体ID,因此使用它来验证是否从正确的系统接收SAML消息。

SAML。国内流离失所者SingleSignOnServiceURL选项用于告诉RStudio Connect发送英格兰vs伊朗让球到哪里(通过帖子或重定向)对试图登录的用户的认证请求。IdP系统必须监听这个URL以进行sp发起的登录。在RStudio Connect仅为英格兰vs伊朗让球idp发起的登录配置的情况下,此必须为IdP的用户登录页面。

SAML。国内流离失所者SigningCertificate指定IdP将用于对发送给RStudio Connect的消息进行签名的密钥的公共端。英格兰vs伊朗让球它可能是PEM文件或原始的Base64编码证书的路径。当不从元数据配置IdP信息时,此选项必须被指定。

除了SAML。国内流离失所者SigningCertificate,如果你使用个别选项,你不得指定SAML。国内流离失所者MetaDataURL选项或SAML。国内流离失所者MetaDataPath选项,因为这将覆盖这些。如果此条件存在,RStudio Connect启动时将英格兰vs伊朗让球记录警告。

其他SAML选项

根据其他IdP配置或安全需求,您可能需要向RStudio Connect SAML配置添加更多选项,以便继续:英格兰vs伊朗让球

重要的

英格兰vs伊朗让球RStudio卡塔尔世界杯欧洲预选赛赛程表 Connect至少支持SAML的一个子集可互操作的SAML

值得注意的是,目前缺少某些功能:

  • 单注销

  • 证书链验证

  • RelayState URL处理(不是SAML标准的一部分)

卡塔尔世界杯欧洲预选赛赛程表支持加密的断言和响应

如果您(或您的IdP)希望IdP发布加密的SAML响应以完成登录操作,则需要使双方都可以使用安全密钥对。IdP必须被授予密钥对的公共证书方;如何做到这一点因IdP而异。必须为RSA密钥对。的opensslssh - keygen命令是用于生成新密钥对的最常用工具。参考您选择的工具的文档;目标是创建两个PEM文件,一个带有私钥,另一个带有公共证书。

使用SAML。SPEncryptionKey配置选项,向RStudio Connect提供密钥对的私有部分。英格兰vs伊朗让球如果希望启用加密支持,则必须提供该选项。卡塔尔世界杯欧洲预选赛赛程表必须是PEM格式的RSA私钥文件路径。

使用选项SAML。SPEncryptionCertificate向RStudio Connect提供公共证书。英格兰vs伊朗让球这样做可以将证书包含在RStudio Connect将生成的SP元数据中。英格兰vs伊朗让球

卡塔尔世界杯欧洲预选赛赛程表支持签名认证请求

请注意

所有SAML反应必须由你的IdP签署。本节将讨论RStudio Connect本身是否会向IdP发送签名SAML英格兰vs伊朗让球消息。在大多数情况下,这不是必需的,本节可以跳过。

如果您(或您的IdP)希望RStudio Conne英格兰vs伊朗让球ct对用于sp发起的登录流的SAML身份验证请求进行签名,则需要确保安全密钥对对双方都可用。IdP必须被授予密钥对的公共证书方;如何做到这一点因IdP而异。必须为RSA密钥对。的opensslssh - keygen命令是用于生成新密钥对的最常用工具。参考您选择的工具的文档;目标是创建两个PEM文件,一个带有私钥,另一个带有公共证书。

请注意

用于加密的证书和RSA私钥也可以用于签名请求。如果已经配置了加密,则不需要额外的密钥。

使用SAML。SPSigningKey配置选项,向RStudio Connect提供密钥对的私有部分。英格兰vs伊朗让球如果希望启用请求签名支持,则必须提供加密密钥或签名密钥。卡塔尔世界杯欧洲预选赛赛程表必须是PEM格式的RSA私钥文件路径。

使用选项SAML。SPSigningCertificate向RStudio Connect提供公共证书。英格兰vs伊朗让球这样做可以将证书包含在RStudio Connect将生成的SP元数据中。英格兰vs伊朗让球

警告

英格兰vs伊朗让球RStudio Connect只接受单个密钥对。可以使用密钥对这两个加密和签名请求或一个只是为了签名。目前不支持用于签名和加密的不同密钥对。卡塔尔世界杯欧洲预选赛赛程表

您还需要知道您的IdP支持的签名方法。卡塔尔世界杯欧洲预选赛赛程表可用的选项有sha1sha256而且sha512.您的选择需要在SAML。SPRequestSigningMethod选择。不确定的时候,试试sha256首先,它在安全性和兼容性之间提供了很好的平衡。

请注意

通过使用上面列出的签名方法之一,RStudio Connect元数据将包含一个英格兰vs伊朗让球“签署”证书,并将具有属性AuthnRequestsSigned真正的价值。

SAML绑定

使用SAML。国内流离失所者SingleSignOnPostBinding选项,以说明是否要使用RStudio Connect英格兰vs伊朗让球帖子绑定(真正的)或重定向绑定((默认值),当RStudio Conne英格兰vs伊朗让球ct使用您的IdP启动单点登录操作时。重定向是最常见的选择。

如果你使用帖子绑定后,RStud英格兰vs伊朗让球io Connect将返回一个隐藏的HTML表单,该表单将自动提交到IdP单点登录页面,在该页面中,页面将被显示,或者如果用户已经登录,则继续登录过程并将用户登录到Connect。

如果IdP是通过元数据配置的,RStudio Connect将验证IdP是否使用这里英格兰vs伊朗让球请求的绑定使SSO位置可用。如果IdP元数据表明支持多个绑定,则卡塔尔世界杯欧洲预选赛赛程表SAML。国内流离失所者SingleSignOnPostBinding选项控制将使用哪一个。

单点登录启动

SAML规范允许由IdP或SP发起单点登录流SAML。SSOInitiated选项来控制这个。有三个可能的值。

  • 国内流离失所者—这表明单点登录只能在IdP上启动。在这种模式下,最终用户必须访问其IdP的登录页面,并选择RStudio Connect作为要使用的服务提供者。英格兰vs伊朗让球

    请注意

    在这种模式下,您将不能使用IdP的元数据来配置IdP的信息;您将需要使用单独的配置选项。当IdP用于初始化身份验证时,从RStudio IDE发布时会出现问题。英格兰vs伊朗让球由于IDE只能知道RStudio Connect, RStudio 英格兰vs伊朗让球Connect必须通过返回一个“盲”重定向到IdP的登录页面来响应。必须在SAML。国内流离失所者SingleSignOnServiceURL配置选项。

  • IdPAndSP—这表明单点登录可能由IdP或RStudio Connect发起。英格兰vs伊朗让球在这种情况下,请注意RStudio IDE将始终使用服务英格兰vs伊朗让球提供者发起的流。这是默认值。

  • SP—这表明单点登录只能由RStudio Connect发起。英格兰vs伊朗让球在这种模式下,idp发起的登录将失败,因为RStudio Connect没有发出匹配的身份验证请求。英格兰vs伊朗让球

名称ID格式

当SAML IdP向服务提供者标识一个经过身份验证的用户时,该用户(通常)由SAML称为“NameID".这个名称ID有四种可能的格式。IdP可以为此支持多个值卡塔尔世界杯欧洲预选赛赛程表。使用SAML。NameIDFormat选项告诉RStudio Con英格兰vs伊朗让球nect你的IdP将使用哪一个。可以设置为瞬态持续的emailAddress未指明的;如果没有提供此选项,则使用最后一个选项。使用指定IdP属性概要文件SAML。国内流离失所者AttributeProfile(见下文)配置文件中的NameID格式将优先于此选项。

如果显式定义了NameID格式,则可以使用概要文件或SAML。NameIDFormat选项,它将被包括作为SAML SP元数据的一部分英格兰vs伊朗让球/ __login__ samlURI。即使格式设置为也是如此未指明的.如果SAML。NameIDFormat选项被省略,那么SP元数据将不会被提及NameIDFormat.看到SAML的元数据部分了解SP元数据的更多详细信息。

如果IdP是通过其元数据配置的而且元数据发布IdP所支持的格式时,RStudio Connect将验证英格兰vs伊朗让球卡塔尔世界杯欧洲预选赛赛程表SAML。NameIDFormat或者来自IdP属性profile选项,IdP使用以下规则支持:卡塔尔世界杯欧洲预选赛赛程表

  • 如果为RStudio Connect配置的值为英格兰vs伊朗让球未指明的,来自IdP的任何值都将被接受。

  • 如果为RStudio Connect配置的值是其他值,那英格兰vs伊朗让球么如果它出现在IdP格式列表中,它将被接受。如果IdP列表包含未指明的连接格式为在该列表中,它将被接受,但将记录一个警告,指出配置可能需要调整。在这种情况下,这可能有效,也可能无效,这取决于您特定的IdP。

用户属性映射

当用户通过IdP进行身份验证时,有关用户的某些数据可能包含在身份验证响应中。这些通常被称为属性断言属性索赔.为了使RStud英格兰vs伊朗让球io Connect能够正确地管理用户信息,它需要理解这些。由于此映射包括Name ID,因此适当的SAML。NameIDFormat,因为该ID也包含在概要文件中。

请注意

从SAML断言属性映射的用户字段将在所有后续成功登录时更新(如果它们更改)。

英格兰vs伊朗让球当SAML身份验证断言包含组成员信息时,RStudio Connect可以自动将用户分配到组。

有两种方法告诉RStudio Connect数据是如何英格兰vs伊朗让球映射的,使用属性配置文件,或自己指定属性

使用属性配置文件

有时RStudio会提前知道特定IdP的字英格兰vs伊朗让球段映射应该是什么。在这种情况下,RStudio Connect的数据库中将提供适当的属性配置文件。英格兰vs伊朗让球

使用SAML。国内流离失所者AttributeProfile配置选项,指定RStudio Connect应该使用的配置文件。英格兰vs伊朗让球默认情况下,这将启用组成员信息的映射。如果你想使用一个配置文件,但做想要使用组,设置SAML。国内流离失所者AttributeProfileGroups配置选项.如果指定了配置文件,则不能指定任何SAML。UniqueIDAttributeSAML。NameIDFormatSAML。使用rnameAttributeSAML。FirstNameAttributeSAML。LastNameAttributeSAML。电子邮件AttributeSAML。组Attribute选项,因为它们将被概要文件覆盖。如果此条件存在,RStudio Connect启动时将英格兰vs伊朗让球记录警告。

请注意

如果SAML。国内流离失所者AttributeProfile,则它将覆盖任何其他IdP属性名称选项。看到附录获取更多信息。

下面是对每个“默认”概要文件的描述,以及作为各自设置等价物显示的断言名称。看到SAML属性部分了解有关各个配置选项的详细信息。

默认的配置文件

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)UniqueIDAttributeNameIDNameIDFormat持续的UsernameAttribute用户名FirstNameAttributeFirstNameLastNameAttributeEmailAttribute电子邮件GroupsAttribute

重要的

属性概要文件从来没有定义一个SAML。RoleAttribute与…连用用户角色映射.如果需要在每个用户的基础上进行角色映射(而不是通过组成员关系进行映射),则该配置选项应该在概要文件之外定义一个值。

自己指定属性

重要的

在RStudio Connect中,SAML属性名的匹配是区分大小写的。英格兰vs伊朗让球

使用SAML。使用rnameAttributeSAML。FirstNameAttributeSAML。LastNameAttribute而且SAML。电子邮件Attribute配置选项,用于设置在获取相关值时要查找的属性的名称。对于每一个指定(当不使用属性配置文件时),RStudio Connect将承担字段的管理,使它们在Conne英格兰vs伊朗让球ct仪表板中可编辑。如果希望使用组信息,请使用SAML。组Attribute选项设置要查找的属性的名称。这允许将用户自动添加到在Connect中手动创建的组中。

请注意

设置SAML。国内流离失所者AttributeProfile将覆盖各个属性设置。确保没有定义此设置。

生成的用户名

你必须包括SAML。使用rnameAttribute或者是SAML。电子邮件Attribute选项(或两者)。如果您没有配置用户名属性,或者SAML或它背后的身份验证机制没有提供该属性,RStudio Connect将在用户第一次登录时为用户创建一个新的唯一用户名。英格兰vs伊朗让球用户名将来自用户的电子邮件地址,不带域名,根据需要添加数字后缀以保证唯一性。这些用户名是可编辑的。

要使用此功能,请设置SAML。使用rnameAttribute应该强制为空值("")和包含用户电子邮件的标题必须在设置中进行配置SAML。电子邮件Attribute

这些生成的用户名以后可以由用户自己或管理员修改,只要它们保持唯一即可。英格兰vs伊朗让球否则RStudio Connect将拒绝更改用户名。

请注意

强烈不鼓励在用户名可能重复的配置和用户名唯一的配置之间切换。如果需要进行此类更改,请确保用户名是唯一的usermanager使用新配置重新启动RStudio Connect前的C英格兰vs伊朗让球LI工具。看到用户管理CLI附录获取更多信息。

其他组属性选项

它应该是单一属性的形式,包含用户所属的所有组的列表。

在极少数情况下,IdP不能将组作为不同值的列表列出,您可以使用SAML。组Separator配置选项,以指定分隔符字符串,该字符串将用于将单个值分割为列表。例如,如果groups属性包含窗体的值,group_1 | group_2,设置SAML。组Separator配置选项|RStu英格兰vs伊朗让球dio Connect会将一个值分解为组名的表示列表。

用户配置

身份验证将完全在SAML Identity Provider的基础结构中进行,一旦完成,将向RStudio Connect返回远程用户信息。英格兰vs伊朗让球

首次登录时注册

默认情况下,当用户第一次成功登录时,可以在RStudio Connect英格兰vs伊朗让球中创建用户。属性中指定的角色将创建帐户授权。DefaultUserRole设置(见用户角色)或经由用户角色映射如果配置。否则,角色可以指定为在仪表板中手动添加用户或通过RStudio Connect Server API添加用户。英格兰vs伊朗让球

首次登录禁用注册

SAML。RegisterOnFirstLogin可用于禁用通过登录行为进行注册。

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)RegisterOnFirstLogin

重要的

使用此选项需要通过RStudio Connect Server API专门创建用户。英格兰vs伊朗让球

用户名

用户名是由SAML身份验证服务提供者在外部定义的。
然而,RStudi英格兰vs伊朗让球o Connect对它支持的用户名施加了一些额外的限制:卡塔尔世界杯欧洲预选赛赛程表

  • 禁止使用以下值:连接应用程序用户向setpassworduser-completion确认最近报告情节未发表的设置指标令牌帮助登录欢迎注册resetpassword内容

SAML提供程序返回的用户名不需要是唯一的SAML。使用rnameAttribute配置。

提示

重复的用户名可能会对跟踪用户凭证的内容产生不利影响。详情请参阅内容凭证高级用户和组主题附录为这种情况下的替代方案。

请注意

当发布到英格兰vs伊朗让球同一个RStudio Connect主卡塔尔世界杯欧洲预选赛赛程表机时,RStudio Studio IDE不支持重复的用户名。但是,具有相同用户名的两个用户不太可能共享相同的IDE帐户或工作站。

如果SAML IdP没有用户名的概念,RStudio Connect可以根据用户的电子邮件地址生成一个用户名英格兰vs伊朗让球。看到生成的用户名获取详细信息。

惟一的ID

的值之外NameIDFormat(描述以上)中定义的属性在Connect中唯一标识用户SAML。UniqueIDAttribute或指定的配置文件中的相同字段SAML。国内流离失所者AttributeProfile.默认为“NameID”是认证主题的标准标识符,提供了与不同SAML标识提供者的广泛兼容性。如果您的IdP设置为使用瞬态格式的名称id,则此值必须指定为NameID

警告

用户由他们的惟一的ID在IdP系统中。如果R英格兰vs伊朗让球Studio Connect显示一个它从未见过的唯一ID,它将创建一个新用户。

请注意

得到的值。SAML。UniqueIDAttribute必须与字段完全匹配unique_id用于通过连接服务器API创建新用户。一旦创建了用户,RStudio Connect标识(英格兰vs伊朗让球guid)应用于该用户的后续API操作。

用户的唯一ID需要映射到SAML主题的Name ID或标识提供者(或IdP)断言属性,因此,在RStudio Connect中是不可编辑的。英格兰vs伊朗让球

编辑用户属性

在RStudio Connect中,SAML断言中的用户配置文件字段是不可编辑的。英格兰vs伊朗让球

请注意

控件可以在登录之前强制更新不可编辑的字段usermanagerCLI的工具。看到用户管理CLI附录。

用户的用户名、姓和电子邮件地址可以从任何SAML断言属性映射。如果没有配置映射,则相应的字段将在RStudio Connect中可编辑英格兰vs伊朗让球授权。使用rInfoEditableBy配置选项。

对映射到用户的SAML断言属性的字段的更改(例如,他们的姓名、电子邮件地址或用户名)直到用户下次登录时才会传播到RStudio Connect。英格兰vs伊朗让球

对于没有属性映射的字段,使用授权。使用rInfoEditableBy将控制谁可以编辑它们。该选项的默认值为AdminAndSelf,允许用户和管理员管理这些用户配置文件属性。配置授权。使用rInfoEditableBy管理是否配置文件编辑应该仅限于管理员。

提示

建议禁用SAML。RegisterOnFirstLogin值为,您也可以配置授权。使用rInfoEditableBy管理.值为管理由管理员创建的用户不能被非管理员修改。

编辑用户角色

用户角色只能在RStudio Connect中编辑英格兰vs伊朗让球用户角色自动映射没有配置,SAML身份验证提供程序也没有配置为将角色作为用户配置文件的一部分发送进来。

用户角色自动映射

英格兰vs伊朗让球RStudio Connect可以在用户登录时根据SAML身份提供者提供的信息自动为用户分配角色。角色可以从以下两个来源之一分配:SAML集团或SAML用户概要属性。

警告

不可能同时使用用户概要属性和组成员关系来确定用户角色。英格兰vs伊朗让球RStudio Connect将无法启动,如果这两个功能的配置选项,授权。使用rRoleGroupMapping而且授权。使用rRoleMapping,设置为真正的

使用组成员关系

重要的

使用SAML组成员关系来确定用户角色将阻止您使用本地管理组

如果要根据SAML组成员关系设置用户角色,请设置配置选项授权。使用rRoleGroupMapping真正的

启用此特性时,请使用配置选项授权。ViewerRoleMapping授权。PublisherRoleMapping,授权。管理是tratorRoleMapping指定要分配给该角色的组的名称。要将一个角色分配给多个组,请多次使用相应的选项,每次指定一个组名。

请注意

按唯一ID分组使用时,角色映射应该给出组的唯一id,而不是组的名称。

在下面的例子中,组开发人员被赋予发布者角色,而组呢Dev-Leaders而且it管理员被赋予Administrator角色。没有任何组被显式地赋予Viewer角色,但所有其他用户将通过授权。DefaultUserRole选项,默认为查看器

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(授权)UserRoleGroupMapping真正的PublisherRoleMapping“开发人员”AdministratorRoleMapping“Dev-Leaders”AdministratorRoleMapping“it管理员”

使用用户配置文件属性

若要使用SAML断言中的属性自动设置用户角色,请在SAML。RoleAttribute配置选项。该属性永远不会通过IdP属性配置文件自动设置;必须显式地设置它。

如果指定的属性包含精确的值查看器出版商而且管理员,不需要其他操作。

如果指定的属性不包含准确的值查看器出版商而且管理员时,您必须提供预期的值。为此,设置配置选项授权。使用rRoleMapping真正的.然后,使用配置选项授权。ViewerRoleMapping授权。PublisherRoleMapping,授权。管理是tratorRoleMapping为每个角色指定一个值。若要为一个角色指定多个值,请多次使用相应的选项。

中的部门名称部门属性用于为用户分配角色。注意,这两个角色都被赋予了Viewer角色人力资源而且市场营销

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML);[其他SAML IdP配置属性]RoleAttribute“部门”(授权)UserRoleMapping真正的ViewerRoleMapping“人力资源”ViewerRoleMapping“市场营销”PublisherRoleMapping“工程”AdministratorRoleMapping“它”

请注意

当用户配置文件中的角色属性与配置的任何值不匹配时,用户将被分配默认角色。默认为查看器,可配置为授权。DefaultUserRole.用户角色不匹配包含在RStudio Connect日志中英格兰vs伊朗让球SAML。日志记录启用。

多用户角色映射

当配置的映射与身份验证提供程序发送的用户或组信息之间有多个匹配时,将选择权限最多的角色。这种行为可以很容易地将用户提升到一个新的角色。

请注意

如果考虑到安全性,可以使用配置选项在这些场景中使用更严格的行为授权。使用rRoleMappingRestrictive.启用后,将选择权限最小的角色。

组成员管理

英格兰vs伊朗让球RStudio Connect可以配置为根据您的SAML身份提供程序(IdP)发送的组名列表自动将用户分配到现有组。对于每次登录尝试,接收到的组名列表将与用户当前拥有的成员身份进行比较,将用户添加为新列出的组的成员,并将用户从不再列出的组中删除。

使用设置SAML。组Attribute或选择SAML IdP配置文件SAML。国内流离失所者AttributeProfile它将自动定义此设置。

请注意

IdP发送的组列表将覆盖手动定义或通过Connect Server API定义的任何成员。但是,这些操作仍然可以在登录尝试之间使用,以保持组成员关系与IdP同步。

手动组发放

管理员可以使用RStudio Connect仪表板中的“人员”选项卡来“添加”对SAM英格兰vs伊朗让球L管理的组的引用。RStudio Connect用户的组成英格兰vs伊朗让球员关系将仅跟踪这些组,而不是从SAML IdP返回的整个组列表。

提示

这是默认行为,当RStudio Connect用户与大量组相关联时,这是一个很好的选择,但只有其中一些组对内容访问英格兰vs伊朗让球控制有用。

警告

当通过仪表板中的“人”或通过Connect Server API删除组时,应该小心。删除组还会移除所有的关联吗在被删除的组和现有内容之间。

自动组发放

除了会员资格,RStudio Connect还可以配置为英格兰vs伊朗让球根据IdP发送给用户的组名列表自动提供(创建)新组。可以通过使用SAML。组AutoProvision

这意味着当用户登录时,还没有出现的组将在RStudio Connect中为用户创建。英格兰vs伊朗让球即使在最后一个成员被删除之后,这些组仍然无限期地提供,因此对内容的任何访问都将保留给这些组的未来成员。

提示

可以通过仪表板、RStudio Connect Server API或最终通过英格兰vs伊朗让球usermanagerCLI。

切换手动组发放和自动组发放

通过自动配置创建的组没有所有者,而手动创建或通过Connect Server API创建的任何组总是与用户相关联。

英格兰vs伊朗让球如果现有组的所有权与提供者配置不匹配,RStudio Connect将在启动时发出警告。

在这些情况下,要么需要删除组,要么需要调整组所有权。这可以用usermanager命令行工具。改变命令使用——新主人——drop-owner开关。

目标是,如果您打算在RStudio Connect中管理所有自动配置的组,那么应该为它们分配一个所有者。英格兰vs伊朗让球相反,如果您希望所有组都由身份验证提供者管理,则应该删除它们的所有者。此外,您应该删除任何在新配置中没有意义的组,这可以通过Connect仪表板、Connect Server API或usermanager.看到用户管理CLI附录了解更多。

本地管理组

如果您不想使用SAML组,您仍然可以在RStudio Connect中使用组。英格兰vs伊朗让球这些组与IdP中的组没有关系。

重要的

如果你正在使用SAML。国内流离失所者AttributeProfile而希望使用本地组,则必须设置配置选项SAML。国内流离失所者AttributeProfileGroups然后离开SAML。组Attribute未定义的。

本地管理的组可以在RStudio Connect的仪表板中创建,也可以通过Conn英格兰vs伊朗让球ect Server API创建。组成员关系必须使用相同的方法进行管理。

提示

如果在RStudio Connect中根本不需要组,请设置英格兰vs伊朗让球授权。用户组配置选项

匹配组的标识符

默认情况下,RStudi英格兰vs伊朗让球o Connect会将SAML IdP发送的组列表与RStudio Connect中存在的组名进行匹配。一些SAML提供者不发送组名,而是使用它们的唯一标识符(比如guid)。

按名称分组

当您的SAML IdP发送组名时,可以使用RStudio Connect的默认行为,使用区分大小写的字符串比较来匹配组。英格兰vs伊朗让球

重要的

如果在SAML IdP中重命名了组,它们将被识别为新组。取决于设置SAML。组AutoProvision时,这些新组将被添加或忽略。在任何情况下,旧组都不会被重命名或从内容acl中删除。您仍然可以在RStudio Connect中重命名一个组,以匹配英格兰vs伊朗让球IdP中的组名,以保留与内容的所有关联。如果auto-provision创建了同名的重复组,则必须首先删除这个新组。

按唯一ID分组

为了支卡塔尔世界杯欧洲预选赛赛程表持SAML IdP为组而不是组名发送唯一标识符的场景,RStudio Connect可以通过使用设置来匹配这些标识符英格兰vs伊朗让球SAML。组ByUniqueId

警告

这被认为是RStudio Connect中的高级特性。英格兰vs伊朗让球用组名以外的标识符标识组需要使用RStudio Conne英格兰vs伊朗让球ct服务器API进行所有组管理工作流程。在这个场英格兰vs伊朗让球景中,RStudio Connect Dashboard不允许组管理,除非将组与某些内容关联起来,这仍然是可能的。

必须在RStudio Connect中使用Connect Server API提供由唯一标识符标识的组。英格兰vs伊朗让球API调用允许组之间的关联unique_id(与SAML IdP在身份验证过程中发送的相同)具有用户友好的名称,通常与IdP中使用的名称相同。英格兰vs伊朗让球在这种情况下,RStudio Connect将不会强制惟一的组名。

提示

重复的组名可能会对跟踪用户凭据的内容产生不利影响。详情请参阅内容凭证高级用户和组主题附录为这种情况下的替代方案。

重要的

SAML。组ByUniqueId启用,SAML。组AutoProvision可以被启用。这将导致在RStudio Connect中创建没有有意义的名称的组,因为IdP只提供唯一ID。英格兰vs伊朗让球

切换组身份

最好,GroupsByUniqueId应该在RStudio Connect中有任何组之前启用。英格兰vs伊朗让球如果已经创建了任何组,并且希望使用此选项,则强烈建议运行用户管理器——组——normalize-ids命令使这些现有组在新设置下正常工作。看到用户管理CLI附录了解更多。的usermanager如果您决定禁用,也应该运行上面的命令GroupsByUniqueId在以后的时间里。

使用多个网络别名使用SAML进行身份验证

默认情况下,RStudi英格兰vs伊朗让球o Connect将只允许SAML身份验证在服务器。地址设置。这是首选的,也是最安全的方法。

如果您打算允许从多个网络别名(例如不同的DNS条目)或通过多个代理或同时在防火墙前和防火墙后使用SAML身份验证,则必须通过SAML。SSOFollowHTTPHeaders设置。一旦启用,服务器。地址将被忽略,HTTP头将被用来确定服务器协议、主机名和端口。

我们建议代理添加一个X-RSC-Request请求头。的值X-RSC-Request头应该是客户端发出的原始请求的绝对URL。https://connect.proxy.company.com <: port > / /一些/路径).

有些代理(例如Amazon Web Services Elastic Load Balancer)不允许添加自定义头。如果X-RSC-Request标头是不提供的,标准标头X-Forwarded-ProtoX-Forwarded-Host,X-Forwarded-Port用于“尽最大努力”确定原始请求URL。

X-Forwarded当代理执行路径重写(例如在下面服务)时,头文件是不合适的https://proxy.company.com/rsc/).使用X-RSC-Request当path-rewriting。X-RSC-Request优先级X-RSC-RequestX-Forwarded提供头文件。

如果没有这些头文件,则宿主标头,而协议或方案(httphttps)将根据是否配置TLS/SSL并使用TLS/SSL进行身份验证而选择。

请注意

完全依赖头文件来确定SAML的服务提供者位置存在安全风险。强烈建议在RStudio Connect前放置代理或其他网络服务,以确保不可能发送包含上述带有恶意地址的报头之一的请求。英格兰vs伊朗让球

其他配置举例

在本例中,配置使用具有单个用户属性名的元数据。

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)IdPMetaDataURLhttps://idp.example.com/saml2/metadataNameIDFormat持续的UsernameAttribute“用户名”FirstnameAttribute“FirstName”LastnameAttribute“姓”EmailAttribute“电子邮件”GroupsAttribute“组织”

这是一个更复杂的SAML配置示例。当元数据不可用或不能使用时,它使用单独的设置。单点登录只能由IdP发起,如果首先在Connect中尝试身份验证(这将发生在RStudio IDE中),Connect将重定向到IdP上的登录页面,签名证书,加密密钥和证书是PEM文件的路径和因为英格兰vs伊朗让球瞬态正在使用UniqueIDAttribute是别的东西吗NameID

;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(SAML)SSOInitiated国内流离失所者IdPEntityIDhttps://idp.example.com/saml2/metadataIdPSingleSignOnServiceURLhttps://idp.example.com/loginIdPSigningCertificate/ / sign.cer /路径SPEncryptionKey/ / rsa.key /路径SPEncryptionCertificate/ / pem.cer /路径NameIDFormat瞬态UniqueIDAttribute“GUID”UsernameAttribute“用户名”FirstnameAttribute“FirstName”LastnameAttribute“姓”EmailAttribute“电子邮件”GroupsAttribute“组织”
版权©英格兰vs伊朗让球RStudio,中国人民银行。版权所有