设置和使用单点登录(SSO)
InfluxDB Cloud Dedicated 支持通过使用 Auth0 和您选择的身份提供者进行单点登录 (SSO) 集成。使用 SSO 为用户提供无缝访问您现有凭据的 InfluxDB Cloud Dedicated 集群。
SSO 授权流程
启用SSO后,每当用户尝试登录到您的InfluxDB Cloud Dedicated集群时,将会发生以下情况:
- InfluxDB 向 InfluxData 管理的 Auth0 服务发送认证请求。
- Auth0 将提供的凭据发送到您的身份提供者。
- 您的身份提供者根据提供的凭据授予或拒绝授权,并将适当的响应返回给 Auth0。
- Auth0 将授权响应返回给 InfluxDB Cloud Dedicated,以授予或拒绝用户的访问权限。
设置您的身份提供者
有关设置和配置身份提供者的信息,请参阅您身份提供者的文档。您可以使用任何 Auth0 支持的身份提供者:
将您的身份提供者连接到Auth0
要将您的身份提供者与InfluxData管理的Auth0服务集成:
在您的身份提供者中创建一个新的应用程序或客户端,以与Auth0和您的InfluxDB Cloud专用集群一起使用。
提供必要的连接凭据给InfluxData支持。所需的凭据取决于您的身份提供者以及您使用的协议。例如:
协议 所需凭据 OIDC 客户端密钥 SAML 身份提供者证书 InfluxData 支持将为您提供关于所需特定凭据的更多信息。
将 InfluxData Auth0 连接 URL 添加为有效的回调 URL 到您的身份提供者应用程序中。这有时也被称为“回发” URL。
https://auth.influxdata.com/login/callback
设置好回调URL后,您可以通过登录到您的InfluxDB Cloud Dedicated集群来测试集成。
管理身份提供者中的用户
一旦设置了SSO,通过您的身份提供者管理对您的InfluxDB Cloud专用集群的登录访问。所有用户拥有管理访问权限。
有关在身份提供者中管理用户的信息,请查看您身份提供者的文档。
正在进行的维护
您的SSO集成可能需要持续的维护才能正常运行。例如:
您正在使用 OIDC,并且您更新了客户端密钥: 将新密钥提供给 InfluxData 支持,以便在 InfluxData 管理的 Auth0 服务中进行更新。
保护客户秘密安全
InfluxData 提供了一种安全的方法用于传输敏感的机密信息,如 OIDC 客户端机密。绝不要使用不安全的方法将您的客户端机密发送给 InfluxData。
您正在使用SAML,并且您的身份提供者证书已被轮换: 将新证书提供给InfluxData支持,以便在InfluxData管理的Auth0服务中进行更新。
SAML证书轮换
一些支持SAML的身份提供者通常会频繁更换证书。每次更换证书时,您必须向InfluxData支持提供更新后的证书。选择身份提供者和使用的协议时,请考虑这一点。
故障排除
与SSO集成最常见的问题发生在与您的身份提供者相关的凭据更改时,需要在InfluxData管理的Auth0服务中进行更新(请参阅 Ongoing maintenance)。
当遇到时,SSO集成错误会返回浏览器一个 500 错误代码。错误详细信息作为以下查询参数包含在URL中:
- 错误
- 错误描述
- 状态
无效的指纹
“Invalid thumbprint”错误描述表明,用于SAML连接的证书与配置在InfluxData管理的Auth0服务中的证书不匹配。
- 错误:
access_denied - error_description:
无效的指纹 (配置的: XXXXXXXX. 计算的: YYYYYYYY)
原因
已配置的证书是Auth0使用的证书。 计算的证书是您的身份提供者使用的证书。如果这些证书不匹配,Auth0将不会授权请求。这很可能意味着证书已被您的身份提供者轮换,新的证书需要添加到Auth0。
解决方案
提供您更新的证书给 InfluxData support,他们将其添加到 Auth0。