您可以使用 SAML 2.0 标准为多款云应用配置单点登录 (SSO)。您设置单点登录后,用户可以使用自己的 Google Workspace 凭据通过单点登录功能登录应用。
使用 SAML 为 LaunchDarkly 设置单点登录
您必须以 超级用户 身份登录,才能执行此任务。准备工作
在设置单点登录之前,请为 LaunchDarkly 创建自定义用户属性。
-
在 Google 管理控制台中,依次点击“菜单”图标
目录
用户。
需要拥有适当的用户管理权限。如果没有正确的权限,您将无法看到完成这些步骤所需的所有控件。
- 在用户 列表的顶部,依次点击更多选项
管理自定义属性。
- 点击顶部的添加自定义属性。
- 设置第一个自定义属性:
- 对于类别,请输入LaunchDarkly。
- 对于说明 ,请输入 LaunchDarkly 自定义属性 。
- 对于自定义字段,请完成以下步骤:
- 对于名称,请输入角色。
- 对于信息类型,请选择文本。
- 对于公开范围,请选择向组织内的用户显示。
- 对于值数量,请选择单个值。
- 点击添加。
- 设置另一个自定义属性,除了名称 外,其他方面的值与上述第 5 步和第 6 步中的值相同。对于名称 ,请输入自定义角色 。
- 点击添加。
您可以在管理用户属性 页面上查看新属性。
第 1 步:将 Google 设置为 SAML 身份提供方
-
在 Google 管理控制台中,依次点击“菜单”图标
应用
Web 应用和移动应用。
您必须以 超级用户 身份登录,才能执行此任务。
-
依次点击添加应用
搜索应用。
- 在输入应用名称 部分,输入 LaunchDarkly 。
- 在搜索结果中,将光标指向 LaunchDarkly Web (SAML) ,然后点击选择 。
- 在 Google 身份提供方详细信息 窗口中,对于 方法 2:复制单点登录网址和证书:
- 点击 SSO 网址 旁边的复制图标
,并保存网址。
- 点击证书 旁边的“下载”图标
,并保存证书。
您需要这些详细信息才能在 LaunchDarkly 中完成设置。
- 点击 SSO 网址 旁边的复制图标
- 点击继续。
让管理控制台保持打开状态。完成应用中的设置步骤后,您需要在管理控制台中继续进行配置。
第 2 步:将 LaunchDarkly 设置为 SAML 2.0 服务提供商
- 打开一个无痕模式浏览器窗口,前往 https://app.launchdarkly.com,然后使用您的 LaunchDarkly 管理员账号登录。
- 依次点击账号设置
安全
修改 SAML 配置。
- 复制断言消费者服务网址。
您需要此值才能在管理控制台中完成设置。
- 对于 SAML 身份提供方详细信息,请输入您在第 1 步中复制的信息:
- 对于登录网址,请粘贴单点登录网址。
- 对于 X.509 证书,请粘贴证书内容。
- 点击保存。
第 3 步:在管理控制台中完成 SSO 配置
- 返回管理控制台浏览器标签页。
- 在服务提供商详细信息 页面上,修改 ACS 网址 字段,将 {uniqueid-provided-by-sp} 替换为您在第 2 步从 LaunchDarkly 复制的网址。
- 点击继续。
-
(可选)如需将 Google 目录属性映射到相应的应用属性,请在 属性映射 窗口中执行以下操作:
- 点击添加映射。
- 点击选择字段
选择一个 Google 目录属性。
- 在应用属性 部分,输入相应的应用属性。
-
(可选)如需输入与此应用相关的群组名称,请执行以下操作:
- 对于群组成员资格(可选),点击搜索群组,输入群组名称的一个或多个字母,然后选择群组名称。
- 根据需要添加其他群组(最多 75 个群组)。
- 在应用属性 部分,输入服务提供商的相应群组属性名称。
无论您输入多少个群组名称,SAML 回复都仅包含用户所属(直接或间接)的群组。如需了解详情,请参阅群组成员资格映射简介。
- 点击完成。
第 4 步:为用户启用应用
-
在 Google 管理控制台中,依次点击“菜单”图标
应用
Web 应用和移动应用。
您必须以 超级用户 身份登录,才能执行此任务。
- 点击 LaunchDarkly 。
- 点击用户访问权限。
-
如要为组织中所有人启用或停用某项服务,请点击对所有人启用 或对所有人停用,然后点击保存。
-
(可选)如要为某个组织部门启用或停用服务,请执行以下操作:
- 在左侧,选择所需组织部门。
- 如要更改服务状态,请选择启用或停用。
- 选择以下其中一项:
- 如果“服务状态”被设为已继承,而您想保留更新后的设置(即使在上级组织的设置发生变化时也保留该设置),请点击覆盖。
- 如果服务状态设置为已覆盖,您可以点击继承恢复为与上级组织相同的设置,也可以点击保存保留新设置(即使上级组织的设置发生变化也应用新设置)。
详细了解组织结构。
-
(可选)如要为一个或多个组织部门内的一组用户启用某项服务,请选择一个访问权限群组。如需了解详情,请参阅通过访问权限群组自定义服务访问权限。
- 确保您的 LaunchDarkly 用户账号电子邮件域名与贵组织受管理的 Google 账号的主域名一致。
第 5 步:验证单点登录是否正常运行
LaunchDarkly 支持身份提供方发起的单点登录和服务提供商发起的单点登录。
验证身份提供方发起的单点登录
-
在 Google 管理控制台中,依次点击“菜单”图标
应用
Web 应用和移动应用。
您必须以 超级用户 身份登录,才能执行此任务。
- 点击 LaunchDarkly 。
- 在 LaunchDarkly 部分,点击 测试 SAML 登录。
该应用应该会在单独的标签页中打开。如果未打开,请根据错误消息进行问题排查,然后重试。 如需详细了解问题排查,请参阅SAML 应用错误消息。
验证服务提供商发起的单点登录
- 关闭所有浏览器窗口。
- 前往 https://app.launchdarkly.com ,然后使用您的 LaunchDarkly 管理员账号登录。
系统应该会将您重定向至 Google 登录页面。 - 选择您的账号并输入密码。
您的凭据通过身份验证后,该应用应该会打开。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。