«Пользователи»
→ Нажмите
кнопку
[+ Пользователи]
→
«Создание пользователя вручную»
:
![Picture8.png]
Нажмите вкладку
«Группы
пользователей», выберите группу, созданную для пользователей SSO, и нажмите «
Сохранить пользователя
»:
![Picture9.png]
Настройка ThousandEyes
Теперь, когда начальная настройка JumpCloud завершена, пора перейти к приложению ThousandEyes.
В своей учетной записи ThousandEyes перейдите в
раздел «Управление» > «Настройки учетной записи» > «Настройки организации» > «Единый вход
». Импортируйте файл метаданных JumpCloud, который был сгенерирован в шаге 5:
![Picture10.png]
2. Нажмите «
Запустить тест единого входа
», и вы должны увидеть экран входа IdP, как показано ниже:
![Picture11.png]
3. Введите имя пользователя и пароль для пользователя, созданного в JumpCloud. В случае успеха вы должны увидеть подтверждающее сообщение «Успешно».
![Picture12.png]
4. Последний и заключительный шаг — добавить пользователей в организацию ThousandEyes, чтобы они могли входить в систему через SSO.
Включение Just-In-Time Provisioning
Just-In-Time (JIT) provisioning позволяет автоматически добавлять пользователей в организацию ThousandEyes при их первом входе в систему через SSO, что избавляет от необходимости добавлять их вручную, как описано в шаге 4 выше.
Чтобы ThousandEyes мог правильно создавать учетные записи пользователей и назначать им определенные роли, поставщик идентификации (IdP) должен отправить определенные атрибуты в дополнение к тем, которые вы настроили до этого момента. Эти атрибуты позволяют ThousandEyes интерпретировать входящие данные в ответах SMAL от IDP и соответственно сопоставлять каждого пользователя с соответствующей ролью.
Примечание
. ThousandEyes поддерживает следующие атрибуты SAML во время предоставления:
displayName, firstName, lastName
Подробнее об использовании и настройке атрибутов читайте в нашей
документации здесь
. Обратите внимание, что поставщик идентификации (IdP) не обязан отправлять все эти атрибуты.
В примере ниже описано, как настроить IdP для отправки всех атрибутов, поддерживаемых ThousandEyes, что мы и рекомендуем. Однако вы можете использовать меньшее количество (см. примечание выше).
В JumpCloud
1.
Перейдите в SSO Aplications → SSO → Нажмите «add attribute» (добавить атрибут)
и добавьте сопоставление на основе формата атрибута, представленного в нашей документации выше — соответствующее имя атрибута IDP будет указано в раскрывающемся меню:
![Picture13.png]
![Picture14.png]
2. На той же странице (
SSO Aplications → SSO
) включите «Group Attributes» (Групповые атрибуты) и присвойте им соответствующее имя. Запишите это имя, так как мы будем использовать его позже при настройке ThousandEyes. В этой статье мы использовали
memberOf
.
![Picture15.png]
На этом сопоставление на стороне IDP завершено. Отныне, когда пользователь впервые войдет в ThousandEyes через SSO, эти атрибуты (
displayName
,
firstName
,
lastName
) будут включены в ответ SAML Assertion от JumpCloud вместе с вновь созданным именем атрибута SAML memberOf=SSO_Users.
В ThousandEyes
Следующая часть настройки JIT находится в ThousandEyes и будет охватывать создание настраиваемой роли (соответствующей имени группы, к которой принадлежит пользователь в JumpCloud), включение самой JIT, а также создание сопоставлений ролей.

1. Перейдите в
   раздел «Управление» → «Настройки учетной записи» → «Пользователи и роли» → «Роли», нажмите [+ Новая роль]
   и создайте настраиваемую роль с тем же именем, что и группа, созданная в IDP (Настройка JumpCloud > Шаг 7):
   ![Picture16.png]
2. Перейдите в раздел
   «Управление» → «Настройки учетной записи» → «Настройки организации» → «Провижининг пользователей
   ».
   Включите JIT, выберите «По
   льзовательский»
   в поле
   «Атрибут имени роли SAML
   » и используйте имя
   «Атрибут
   группы», созданное ранее в JumpCloud. Затем выберите группу учетных записей, которая будет связана с пользователем.
   ![Picture17.png]
3. Наконец,
   нам нужно настроить создание пользователя при
   «Первом входе
   ». Существует два способа инициирования предоставления и входа для новых пользователей ThousandEyes: инициированный IdP и автоматический, инициированный SP.
   Инициированное IdP. Этот метод работает для любого нового пользователя:
   a. Сначала войдите в свой IdP; это подтвердит учетные данные, необходимые для входа в ThousandEyes.
   b. «Запустите» ThousandEyes из IdP; это отправит утверждение SAML IdP в ThousandEyes. Затем ThousandEyes проверит, предоставит и предоставит пользователю активную сессию.
   С помощью JumpCloud пользователь может инициировать вход, щелкнув приложение ThousandEyes:
   ![Picture18.png]
   ![Picture19.png]
   ![Picture20.png]
   ![Picture21.png]
   После успешной аутентификации пользователя в JumpCloud его профиль будет автоматически создан в ThousandEyes и связан с настраиваемой ролью «
   SSO_Users
   »:
   ![Picture22.png]
   Автоматически инициируется SP.
   Этот метод идеально подходит для партнеров или поставщиков многофункциональных услуг (MSP), чтобы упростить процесс для своих клиентов. После настройки пользователи могут щелкнуть предварительно заполненную ссылку и автоматически перенаправиться на своего IdP для аутентификации в ThousandEyes.
   Этот процесс требует точного выполнения нескольких шагов, поэтому мы рекомендуем следовать нашей
   документации для разработчиков,
   чтобы узнать точные шаги.
   Заключение и ресурсы
   Спасибо, что следили за нашим обзором лучших способов настройки SSO между JumpCloud и ThousandEyes! Мы надеемся, что эта статья была вам полезна, но если у вас есть дополнительные вопросы или вам нужна дополнительная поддержка, просмотрите ссылки ниже или обратитесь в нашу службу поддержки, которая будет рада вам помочь!
   Ссылки на ресурсы:
   Бесплатная пробная версия JumpCloud:
   https://jumpcloud.com/start-your-trial
   Бесплатная
   пробная версия ThousandEyes:
   https://www.thousandeyes.com/signup/
   Скачивание
   файла метаданных ThousandEyes:
   ссылка здесь
   Документация ThousandEyes SAML JIT:
   https://docs.thousandeyes.com/product-documentation/user-management/user-registration/saml-jit-provisioning#saml-attribute-requirements
   Документация по автоматическому SSO, инициируемому SP, от ThousandEyes:
   https://docs.thousandeyes.com/product-documentation/user-management/user-registration/saml-jit-provisioning#first-login