注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
从一个 SAML 身份提供程序迁移到另一个身份提供程序需要一个超出在控制面板中创建和禁用 SAML 提供程序的工作流程。您需要完成就地 SAML 提供程序或外部到外部 SAML 提供程序的更新过程。当用户使用新的 SAML 提供程序登录 Foundry 时,Foundry 将为他们提供一个新的、重复的用户帐户。来自新提供程序的组也将被复制。不正确执行提供程序更新的后果包括:
为了防止上述问题,用户必须在切换到使用新提供程序之前,从旧的 SAML 提供程序迁移到新的 SAML 提供程序。对此有两个选项:
这是最简单的选项,仅在当前和目标身份提供程序共享相同属性时才应选择。特别是,ID 属性映射的值必须不变,否则用户将在 Foundry 中获得一个全新的帐户。
如果新身份提供程序中传入用户或组的 ID 属性与现有 ID 属性不同,请遵循外部到外部 SAML 提供程序更新过程。
按以下步骤执行就地 SAML 提供程序更新:
从控制面板,导航到 Enrollment Settings 下的 Authentication 标签。找到您要更新的 SAML 提供程序,然后点击 Actions 下拉菜单并选择 Manage。
在 SAML 部分,选择 Manage。
下载 SAML 集成元数据 XML。在身份提供程序端更新您的 SAML 应用程序。
在 Identity provider metadata 下,将您的新身份提供程序联盟元数据文件上传到控制面板。
测试 新的集成是否按预期工作,并且用户属性没有更改,用户没有获得一个新的 Foundry 帐户。
按以下步骤执行外部到外部 SAML 提供程序更新:
从控制面板,导航到 Enrollment Settings 下的 Authentication 标签。在 Authentication providers 下,选择 Add provider 并添加新的提供程序。
了解更多关于配置 SAML 2.0 集成以添加新的 SAML 提供程序。
使用测试帐户**测试** 新的 SAML 集成。
暂时禁用集成以避免同时启用重复的提供程序。
联系您的 Palantir 代表以获得将用户从旧提供程序迁移到新提供程序的帮助。