使用 SSO 对用户进行身份验证
支持的平台:
本文档介绍如何配置 SAML 提供商以实现以下用例之一:
- 对于 Okta,请参阅在 Google SecOps SOAR 中配置 Okta。
- 对于 Google Workspace,请参阅为 Google Workspace 配置 SAML。
- 对于 Azure,请参阅为 Microsoft Azure 配置 SAML。
配置 SAML 提供商后,您可以在 Google SecOps SOAR 平台中对用户进行身份验证,如下所示:
- 依次前往 SOAR 设置 > 高级 > 外部身份验证。
- 在提供商页面上,依次点击 添加 添加。
- 在提供方类型字段中,选择所需的 SAML 提供方。例如,Okta 或 Google Workspace。
- 在提供方名称字段中,输入实例的名称。例如,Okta 客户名称。
- 使用以下详细信息设置配置:
字段 说明 提供方名称 SAML 提供方的名称。 IDP 元数据 在身份提供商 (IdP) 和服务提供商 (SP) 之间共享配置信息的 SAML 元数据。如果您使用证书,请在 XML 中将 WantAuthnRequestsSigned="true"设置为WantAuthnRequestsSigned="true";否则,请将其设置为false。标识符 SAML 提供方中的 SP ID。 在 Google Workspace 中,此术语称为实体 ID,但服务提供商可以使用不同的名称。 ACS 网址 Google SecOps SOAR 服务器名称。可以是 IP 网址、主机名网址或本地主机网址。
如需使用 SAML 登录,您必须执行以下操作:
- 使用与此字段中配置的相同的网址格式连接到平台。
- 确保网址包含 Google SecOps SOAR 服务器的 IP 地址,后跟
/saml2。
主动响应 此设置也称为 IdP 发起的响应。借助此功能,SAML 用户可以直接从其 IdP 应用访问 Google SecOps SOAR 平台。例如,如果贵公司使用 Okta,用户可以直接通过 Okta 应用进入 Google SecOps SOAR。 自动重定向 自动重定向功能会自动将未登录的用户发送到 IdP 登录页面。如需强制用户直接登录平台,请在网址中附加 ?autoExternalLogin=false。 示例:https://example.com/#/login?autoExternalLogin=false。 - 点击测试以验证配置是否有效。
- 点击保存。
- 根据需要选择一种用户创建类型:
- 手动:在用户管理窗口中逐个添加用户。如需详细了解如何添加用户,请参阅管理用户。
- Just in Time:在用户登录时自动在 Google SecOps 中创建用户。选择此选项后,系统会打开一个包含更多参数的“高级”标签页。如需了解详情,请参阅配置即时配置。
- IdP 群组映射:根据 IdP 群组分配情况,在 Google SecOps 中自动创建用户。选择此选项后,系统会打开一个包含更多参数的“高级”标签页。如需详细了解 IdP 群组映射,请参阅将 IdP 群组映射到 SOAR 角色。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。