组织 SSO 认证
单点登录(SSO)是一种认证方案,使你的 TiDB Cloud 组织中的成员能够使用身份提供商(IdP)的身份而不是电子邮件地址和密码登录 TiDB Cloud。
TiDB Cloud 支持以下两种 SSO 认证:
标准 SSO:成员可以使用 GitHub、Google 或 Microsoft 认证方法登录 TiDB Cloud 控制台。标准 SSO 默认为 TiDB Cloud 中的所有组织启用。
云组织 SSO:成员可以使用组织指定的认证方法登录 TiDB Cloud 的自定义登录页面。云组织 SSO 默认是禁用的。
与标准 SSO 相比,云组织 SSO 提供了更多的灵活性和自定义选项,以便你更好地满足组织的安全性和合规性要求。例如,你可以指定登录页面上显示哪些认证方法,限制允许登录的电子邮件域名,并让你的成员使用采用 OpenID Connect (OIDC) 或 Security Assertion Markup Language (SAML) 身份协议的身份提供商(IdP)登录 TiDB Cloud。
在本文中,你将了解如何将组织的认证方案从标准 SSO 迁移到云组织 SSO。
开始之前
在迁移到云组织 SSO 之前,请检查并确认本节中有关你组织的项目。
决定组织的 TiDB Cloud 登录页面的自定义 URL
启用云组织 SSO 后,你的成员必须使用你的自定义 URL 而不是公共登录 URL(https://tidbcloud.com)登录 TiDB Cloud。
自定义 URL 在启用后无法更改,因此你需要提前决定要使用的 URL。
自定义 URL 的格式为 https://tidbcloud.com/enterprise/signin/your-company-name,其中你可以自定义公司名称。
决定组织成员的认证方法
TiDB Cloud 为组织 SSO 提供以下认证方法:
- 用户名和密码
- GitHub
- Microsoft
- OIDC
- SAML
启用云组织 SSO 时,前四种方法默认是启用的。如果你想强制组织使用 SSO,可以禁用用户名和密码认证方法。
所有启用的认证方法都将显示在你的自定义 TiDB Cloud 登录页面上,因此你需要提前决定要启用或禁用哪些认证方法。
决定是否启用自动配置
自动配置是一项功能,允许成员自动加入组织,而无需 Organization Owner 或 Project Owner 的邀请。在 TiDB Cloud 中,所有支持的认证方法默认都禁用了此功能。
- 当某个认证方法禁用自动配置时,只有被
Organization Owner或Project Owner邀请的用户才能登录你的自定义 URL。 - 当某个认证方法启用自动配置时,任何使用该认证方法的用户都可以登录你的自定义 URL。登录后,他们会自动被分配组织内的默认成员角色。
出于安全考虑,如果你选择启用自动配置,建议在配置认证方法详情时限制允许的电子邮件域名。
通知成员有关云组织 SSO 迁移计划
在启用云组织 SSO 之前,请确保通知你的成员以下内容:
- TiDB Cloud 的自定义登录 URL
- 何时开始使用自定义登录 URL 而不是
https://tidbcloud.com登录 - 可用的认证方法
- 成员是否需要邀请才能登录自定义 URL
步骤 1. 启用云组织 SSO
要启用云组织 SSO,请执行以下步骤:
以具有
Organization Owner角色的用户身份登录 TiDB Cloud 控制台,然后使用左上角的组合框切换到目标组织。在左侧导航栏中,点击组织设置 > 认证。
在认证页面上,点击启用。
在对话框中,输入组织的自定义 URL,该 URL 在 TiDB Cloud 中必须是唯一的。
点击我理解并确认复选框,然后点击启用。
步骤 2. 配置认证方法
在 TiDB Cloud 中启用认证方法允许使用该方法的成员使用你的自定义 URL 登录 TiDB Cloud。
配置用户名和密码、Google、GitHub 或 Microsoft 认证方法
启用云组织云后,你可以按如下方式配置用户名和密码、Google、GitHub 或 Microsoft 认证方法:
在组织设置页面上,根据需要启用或禁用 Google、GitHub 或 Microsoft 认证方法。
对于已启用的认证方法,你可以点击 配置方法详情。
在方法详情中,你可以配置以下内容:
默认禁用。你可以根据需要启用它。出于安全考虑,如果你选择启用自动配置,建议限制允许的电子邮件域名进行认证。
允许的电子邮件域名
配置此字段后,只有使用此认证方法的指定电子邮件域名才能使用自定义 URL 登录 TiDB Cloud。填写域名时,需要排除
@符号,并用逗号分隔。例如,company1.com,company2.com。
点击保存。
配置 OIDC 认证方法
如果你有使用 OIDC 身份协议的身份提供商,可以启用 OIDC 认证方法进行 TiDB Cloud 登录。
在 TiDB Cloud 中,OIDC 认证方法默认是禁用的。启用云组织云后,你可以按如下方式启用和配置 OIDC 认证方法:
从你的身份提供商获取以下信息用于 TiDB Cloud 组织 SSO:
- 发行者 URL
- 客户端 ID
- 客户端密钥
在组织设置页面上,点击认证标签,找到认证方法区域中的 OIDC 行,然后点击 显示 OIDC 方法详情。
在方法详情中,你可以配置以下内容:
名称
为要在自定义登录页面上显示的 OIDC 认证方法指定名称。
发行者 URL、客户端 ID 和客户端密钥
粘贴从你的 IdP 获取的相应值。
默认禁用。你可以根据需要启用它。出于安全考虑,如果你选择启用自动配置,建议限制允许的电子邮件域名进行认证。
允许的电子邮件域名
配置此字段后,只有使用此认证方法的指定电子邮件域名才能使用自定义 URL 登录 TiDB Cloud。填写域名时,需要排除
@符号,并用逗号分隔。例如,company1.com,company2.com。
点击保存。
配置 SAML 认证方法
如果你有使用 SAML 身份协议的身份提供商,可以启用 SAML 认证方法进行 TiDB Cloud 登录。
在 TiDB Cloud 中,SAML 认证方法默认是禁用的。启用云组织云后,你可以按如下方式启用和配置 SAML 认证方法:
从你的身份提供商获取以下信息用于 TiDB Cloud 组织 SSO:
- 登录 URL
- 签名证书
在组织设置页面上,点击左侧导航栏中的认证标签,找到认证方法区域中的 SAML 行,然后点击 显示 SAML 方法详情。
在方法详情中,你可以配置以下内容:
名称
为要在自定义登录页面上显示的 SAML 认证方法指定名称。
登录 URL
粘贴从你的 IdP 获取的 URL。
签名证书
粘贴从你的 IdP 获取的完整签名证书,包括开始行
---begin certificate---和结束行---end certificate---。默认禁用。你可以根据需要启用它。出于安全考虑,如果你选择启用自动配置,建议限制允许的电子邮件域名进行认证。
允许的电子邮件域名
配置此字段后,只有使用此认证方法的指定电子邮件域名才能使用自定义 URL 登录 TiDB Cloud。填写域名时,需要排除
@符号,并用逗号分隔。例如,company1.com,company2.com。SCIM 配置账户
默认禁用。如果你想从身份提供商集中和自动化 TiDB Cloud 组织用户和组的配置、取消配置和身份管理,可以启用它。有关详细配置步骤,请参见配置 SCIM 配置。
点击保存。
配置 SCIM 配置
跨域身份管理系统(SCIM)是一个开放标准,可自动化身份域和 IT 系统之间的用户身份信息交换。通过配置 SCIM 配置,可以将身份提供商的用户组自动同步到 TiDB Cloud,你可以在 TiDB Cloud 中集中管理这些组的角色。
在 TiDB Cloud 中,启用 SAML 认证方法的 SCIM 配置账户选项,然后记录以下信息以供后续使用。
- SCIM 连接器基本 URL
- 用户唯一标识符字段
- 认证模式
在你的身份提供商中,为 TiDB Cloud 配置 SCIM 配置。
在你的身份提供商中,为 SAML 应用集成添加 TiDB Cloud 组织的 SCIM 配置。
例如,如果你的身份提供商是 Okta,请参见为应用集成添加 SCIM 配置。
将 SAML 应用集成分配给身份提供商中的所需组,以便组中的成员可以访问和使用应用集成。
例如,如果你的身份提供商是 Okta,请参见将应用集成分配给组。
将用户组从身份提供商推送到 TiDB Cloud。
例如,如果你的身份提供商是 Okta,请参见管理组推送。
在 TiDB Cloud 中查看从身份提供商推送的组。
- 在 TiDB Cloud 控制台中,使用左上角的组合框切换到目标组织。
- 在左侧导航栏中,点击组织设置 > 认证。
- 点击组标签。显示从身份提供商同步的组。
- 要查看组中的用户,点击查看。
在 TiDB Cloud 中,为从身份提供商推送的组授予角色。
如果你在身份提供商中更改了推送组的成员,这些更改会动态同步到 TiDB Cloud 中的相应组。
- 如果在身份提供商的组中添加了新成员,这些成员将获得相应组的角色。
- 如果从身份提供商的组中删除了某些成员,这些成员也会从 TiDB Cloud 中的相应组中删除。