Руководство по настройке: интеграция ThousandEyes SSO с JumpCloud
-
[Введение и предварительные требования]
[Настройка JumpCloud]
[Настройка ThousandEyes]
[Включение функции Just-In-Time Provisioning]
[В JumpCloud]
[В ThousandEyes]
[Заключение и ресурсы] Введение и предварительные требования
В этом документе представлено пошаговое руководство по настройке интеграции единого входа (SSO) между ThousandEyes в качестве поставщика услуг и JumpCloud в качестве поставщика идентификационных данных путем импорта файлов метаданных с обеих сторон. Он также содержит инструкции по настройке предоставления доступа по требованию (JIT) на IdP с сопоставлением ролей на основе настраиваемого атрибута.
Для успешной реализации интеграции SSO вам потребуются следующие разрешения, роли и базовые знания:
Доступ на уровне администратора в ThousandEyes
Доступ на уровне администратора в JumpCloud
Практическое понимание навигации по JumpCloud и ThousandEyes
Загруженный файл метаданных ThousandEyes (
ссылка здесь
)
Примечание
: Оцениваете свои варианты? 30-дневную бесплатную пробную учетную запись для тестирования этой настройки можно создать на
Unified Platform for Identity, Access, & Devices
for JumpCloud, а также
15-дневную бесплатную пробную
версию для ThousandEyes!
Настройка JumpCloud
После входа в панель администратора перейдите в раздел
«Приложения SSO
» и нажмите
[+ Добавить новое приложение]
.
![Picture1.png]
Найдите «ThousandEyes» и нажмите
«Next
»:
![Picture2.png]
Укажите отображаемое имя, настройте «
URL
SSO IDP
» (необязательно) и нажмите
[Сохранить приложение]
:
![Picture3.png]
Нажмите
[Настроить приложение]
:
![Picture4.png]
Измените
«IdP Entity ID
» на URL по вашему выбору, нажмите
«Сохранить
», а затем
«Экспорт метаданных
». Это создаст файл, который мы будем использовать при настройке ThousandEyes позже:
![Picture5.png]
В разделе
«Метаданные поставщика
услуг» нажмите «Выбрать
файл
» и импортируйте файл метаданных ThousandEyes, загруженный ранее. Доступен здесь:
https://app.thousandeyes.com/saml-metadata
![Picture6.png]
7. Создайте группу для пользователей SSO, перейдя в
«Меню» > «Управление пользователями» > «Группы пользователей» > нажмите (+)
, введите желаемое название группы и нажмите «Сохранить»:
![Picture7.png]
Создайте пользователя и добавьте его в созданную выше группу:
Меню«Пользователи»
→ Нажмите
кнопку
[+ Пользователи]
→
«Создание пользователя вручную»
:
![Picture8.png]
Нажмите вкладку
«Группы
пользователей», выберите группу, созданную для пользователей SSO, и нажмите «
Сохранить пользователя
»:
![Picture9.png]
Настройка ThousandEyes
Теперь, когда начальная настройка JumpCloud завершена, пора перейти к приложению ThousandEyes.
В своей учетной записи ThousandEyes перейдите в
раздел «Управление» > «Настройки учетной записи» > «Настройки организации» > «Единый вход
». Импортируйте файл метаданных JumpCloud, который был сгенерирован в шаге 5:
![Picture10.png]
2. Нажмите «
Запустить тест единого входа
», и вы должны увидеть экран входа IdP, как показано ниже:
![Picture11.png]
3. Введите имя пользователя и пароль для пользователя, созданного в JumpCloud. В случае успеха вы должны увидеть подтверждающее сообщение «Успешно».
![Picture12.png]
4. Последний и заключительный шаг — добавить пользователей в организацию ThousandEyes, чтобы они могли входить в систему через SSO.
Включение Just-In-Time Provisioning
Just-In-Time (JIT) provisioning позволяет автоматически добавлять пользователей в организацию ThousandEyes при их первом входе в систему через SSO, что избавляет от необходимости добавлять их вручную, как описано в шаге 4 выше.
Чтобы ThousandEyes мог правильно создавать учетные записи пользователей и назначать им определенные роли, поставщик идентификации (IdP) должен отправить определенные атрибуты в дополнение к тем, которые вы настроили до этого момента. Эти атрибуты позволяют ThousandEyes интерпретировать входящие данные в ответах SMAL от IDP и соответственно сопоставлять каждого пользователя с соответствующей ролью.
Примечание
. ThousandEyes поддерживает следующие атрибуты SAML во время предоставления:
displayName, firstName, lastName
Подробнее об использовании и настройке атрибутов читайте в нашей
документации здесь
. Обратите внимание, что поставщик идентификации (IdP) не обязан отправлять все эти атрибуты.
В примере ниже описано, как настроить IdP для отправки всех атрибутов, поддерживаемых ThousandEyes, что мы и рекомендуем. Однако вы можете использовать меньшее количество (см. примечание выше).
В JumpCloud
1.
Перейдите в SSO Aplications → SSO → Нажмите «add attribute» (добавить атрибут)
и добавьте сопоставление на основе формата атрибута, представленного в нашей документации выше — соответствующее имя атрибута IDP будет указано в раскрывающемся меню:
![Picture13.png]
![Picture14.png]
2. На той же странице (
SSO Aplications → SSO
) включите «Group Attributes» (Групповые атрибуты) и присвойте им соответствующее имя. Запишите это имя, так как мы будем использовать его позже при настройке ThousandEyes. В этой статье мы использовали
memberOf
.
![Picture15.png]
На этом сопоставление на стороне IDP завершено. Отныне, когда пользователь впервые войдет в ThousandEyes через SSO, эти атрибуты (
displayName
,
firstName
,
lastName
) будут включены в ответ SAML Assertion от JumpCloud вместе с вновь созданным именем атрибута SAML memberOf=SSO_Users.
В ThousandEyes
Следующая часть настройки JIT находится в ThousandEyes и будет охватывать создание настраиваемой роли (соответствующей имени группы, к которой принадлежит пользователь в JumpCloud), включение самой JIT, а также создание сопоставлений ролей.- Перейдите в
раздел «Управление» → «Настройки учетной записи» → «Пользователи и роли» → «Роли», нажмите [+ Новая роль]
и создайте настраиваемую роль с тем же именем, что и группа, созданная в IDP (Настройка JumpCloud > Шаг 7):
![Picture16.png] - Перейдите в раздел
«Управление» → «Настройки учетной записи» → «Настройки организации» → «Провижининг пользователей
».
Включите JIT, выберите «По
льзовательский»
в поле
«Атрибут имени роли SAML
» и используйте имя
«Атрибут
группы», созданное ранее в JumpCloud. Затем выберите группу учетных записей, которая будет связана с пользователем.
![Picture17.png] - Наконец,
нам нужно настроить создание пользователя при
«Первом входе
». Существует два способа инициирования предоставления и входа для новых пользователей ThousandEyes: инициированный IdP и автоматический, инициированный SP.
Инициированное IdP. Этот метод работает для любого нового пользователя:
a. Сначала войдите в свой IdP; это подтвердит учетные данные, необходимые для входа в ThousandEyes.
b. «Запустите» ThousandEyes из IdP; это отправит утверждение SAML IdP в ThousandEyes. Затем ThousandEyes проверит, предоставит и предоставит пользователю активную сессию.
С помощью JumpCloud пользователь может инициировать вход, щелкнув приложение ThousandEyes:
![Picture18.png]
![Picture19.png]
![Picture20.png]
![Picture21.png]
После успешной аутентификации пользователя в JumpCloud его профиль будет автоматически создан в ThousandEyes и связан с настраиваемой ролью «
SSO_Users
»:
![Picture22.png]
Автоматически инициируется SP.
Этот метод идеально подходит для партнеров или поставщиков многофункциональных услуг (MSP), чтобы упростить процесс для своих клиентов. После настройки пользователи могут щелкнуть предварительно заполненную ссылку и автоматически перенаправиться на своего IdP для аутентификации в ThousandEyes.
Этот процесс требует точного выполнения нескольких шагов, поэтому мы рекомендуем следовать нашей
документации для разработчиков,
чтобы узнать точные шаги.
Заключение и ресурсы
Спасибо, что следили за нашим обзором лучших способов настройки SSO между JumpCloud и ThousandEyes! Мы надеемся, что эта статья была вам полезна, но если у вас есть дополнительные вопросы или вам нужна дополнительная поддержка, просмотрите ссылки ниже или обратитесь в нашу службу поддержки, которая будет рада вам помочь!
Ссылки на ресурсы:
Бесплатная пробная версия JumpCloud:
https://jumpcloud.com/start-your-trial
Бесплатная
пробная версия ThousandEyes:
https://www.thousandeyes.com/signup/
Скачивание
файла метаданных ThousandEyes:
ссылка здесь
Документация ThousandEyes SAML JIT:
https://docs.thousandeyes.com/product-documentation/user-management/user-registration/saml-jit-provisioning#saml-attribute-requirements
Документация по автоматическому SSO, инициируемому SP, от ThousandEyes:
https://docs.thousandeyes.com/product-documentation/user-management/user-registration/saml-jit-provisioning#first-login
- Перейдите в
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти