Orchestrator 用户指南
ADFS、Google 和 Okta 都使用您的电子邮件地址作为 SAML 属性。 本节根据您的用户名或外部提供程序密钥处理自定义 SAML 映射。
The following parameters need to be configured in this regard in Identity Server's SAML2 settings within the External Providers page (refer to Host Identity Management hub to learn how to access Identity Server):
-
外部用户映射策略 - 定义映射策略。提供以下选项:
By user email- 您的电子邮件地址被设置为属性。这是默认值。By username- 您的用户名被设置为属性。By external provider key- 将外部提供程序密钥设置为属性。
- 外部用户标识符声明名称 - 定义要用作映射标识符的声明。仅当您将用户名设置为属性时才需要。
以下示例是使用 OKTA 对每个映射策略的配置。
通过用户电子邮件
这是默认的映射策略。 使用电子邮件声明进行用户识别。
要使用用户电子邮件,请在 主机管理门户 中配置 SAML(“用户”>“身份验证设置”>“外部提供程序”>“SAML 2.0”),如下所示:
- 选择“已启用”复选框。
- 将“外部用户映射策略”参数设置为
By user email。
通过用户名
这使管理员能够为用户标识定义特定的声明。
要使用用户名,请在“主机管理门户”中配置 SAML(“用户”>“身份验证设置”>“外部提供程序”>“SAML 2.0”),如下所示:
- 选择“已启用”复选框。
- 将“外部用户映射策略”参数设置为
By username。 - 将外部用户标识符声明名称参数设置为先前创建的声明,在我们的示例中为
auid-claim。
通过外部提供程序密钥
如果已在 Orchestrator 和 Okta 中定义用户,则建议使用此选项。
有权访问 Identity Server 用户数据库的管理员需要运行以下 SQL 命令:
INSERT INTO [identity].[AspNetUserLogins] (UserId,LoginProvider,ProviderKey)
VALUES (<userid>,'http://www.okta.com/exkh4xo7uoXgjukfS0h7','[email protected]')INSERT INTO [identity].[AspNetUserLogins] (UserId,LoginProvider,ProviderKey)
VALUES (<userid>,'http://www.okta.com/exkh4xo7uoXgjukfS0h7','[email protected]')- 将
LoginProvider参数设置为 Okta 中使用的实体 ID - 将
ProviderKey参数设置为用户的电子邮件地址
要使用外部提供程序密钥,请在“主机管理门户”中配置 SAML(“用户”>“身份验证设置”>“外部提供程序”>“SAML 2.0”),如下所示:
- 选择“已启用”复选框。
- 将“外部用户映射策略”参数设置为
By external provider key。
