注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
为 Okta 配置 SAML 2.0 集成
本节包含配置 SAML 2.0 集成的 Okta 特定步骤,作为更广泛的 通过 SAML 2.0 进行端到端身份验证教程 的一部分。
如果您收到了用于配置初始 SAML 集成的 Foundry 设置链接,请跳到下一步。否则,您可以通过进入控制面板中的 Authentication 标签并在 SAML 部分中选择 Manage 来添加新的 SAML 提供程序。
在 Okta 中,按照这些说明 ↗创建一个 SAML 应用程序集成。
SAML 集成元数据
从 Foundry 控制面板(如左侧所示)复制以下内容以在 Okta 的 Edit SAML Integration 页面(如右侧所示)中使用:
| Foundry | Okta |
|---|---|
| Assertion consumer service (ACS) URL | Single sign on URL |
| Entity ID | Audience URI (SP Entity ID) |
属性映射
Okta 未定义可以直接使用的标准 SAML 属性,除了 NameID 之外。属性需要先在 Okta 中定义,然后才能在 Foundry 中进行映射。
在 Okta 中,声明以下属性语句:
| 名称 | 名称格式 | 值 |
|---|---|---|
| firstName | Basic | user.firstName |
| lastName | Basic | user.lastName |
| Basic | user.email |
您可以在 Attribute mapping 中定义用户属性的以下映射。如果使用 Foundry 设置链接,Okta 属性映射将被预先填充。
- ID:
NameID - 用户名:
NameID(或者,email) - 电子邮件:
email - 名:
firstName - 姓:
lastName
您还可以定义属性映射以在 Foundry 中镜像现有的 Okta 组。在 Okta 中定义一个或多个组属性语句,并在 Group attribute mapping 中进行映射。
身份提供商元数据
在 Okta 中,完成 SAML 应用程序集成的创建,然后导航到 Sign on 标签以在 Identity provider metadata 下以 XML 文件格式检索您的身份提供商的元数据。将其上传到 Foundry 的 Identity provider metadata 部分。
完成并保存
在 Foundry 中,在 Email domains 下添加与此 SAML 2.0 集成相关联的电子邮件域。
最后,保存您的 SAML 2.0 集成并 继续进行多因素身份验证。