管理 IDP 和 SSO

AutoMQ 支持配置 SAML 协议的企业身份提供商，您可以通过现有的身份提供商（下文简称 Identity Provider，IdP）来管理和认证 AutoMQ 环境成员，而无需使用 AutoMQ 本地用户名和密码。

在 AutoMQ 中启用 SSO 后，您可以在一个地方管理所有用户，并允许用户使用现有的 SSO 凭据登录 AutoMQ。

前置条件

AutoMQ 控制台默认会提供初始 admin 成员和本地成员登录方式，如需启用 SSO 登录，需要满足如下条件：

• 企业的 IdP 必须支持** SAML2.0 协议** 。AutoMQ 暂不支持 OIDC 协议。

• 企业 IdP 需要提供明确的身份标识，用于区分每个独立用户。

• 企业 IdP 提供的用户名和 AutoMQ 本地类型的成员名不得冲突。参考成员账户▸。

使用限制

AutoMQ 控制台使用企业 IdP 来实现 SSO 登录，会有如下限制：

• 每个 AutoMQ 控制台仅支持配置唯一的企业 IdP，暂不支持多身份来源。

• 配置 IdP 后即默认开启 SSO ，但本地用户登录方式仍然支持。环境管理员可通过本地登录方式管理 SSO。

• 如果删除 IdP，即默认关闭 SSO，已经产生的 SSO 成员不会被删除，需要手工删除。

• 暂不支持 SSO 成员和本地成员的互相转换。

• 暂不支持 SAML Session 退出协议。

配置企业身份提供商和 SSO

步骤一：配置 AutoMQ 控制台域名

配置 IdP 和开启 SSO 登录前，环境管理员需要设置 AutoMQ 控制台的域名，需要确保最终企业用户浏览器通过该域名可以访问 AutoMQ 控制台。配置操作如下：

1. 企业管理员点击 **设置 ** 菜单栏。

2. 查看设置页面，点击添加控制台域名 。

3. 填写控制台对用户提供服务的域名、端口和协议。

tip

企业用户如需使用 HTTPS 协议，则建议将控制台域名挂载到 ALB 等前置负载均衡服务，完成 TLS协议卸载。

4. 设置完成，进行连通性测试。

步骤二：在 AutoMQ 控制台获取 SP 信息

AutoMQ 环境管理员（拥有环境管理员角色授权的成员）查看 AutoMQ SP 信息，并提供给企业 IdP 管理员，具体操作步骤如下：

1. 点击导航栏 访问和控制 。添加 IdP 。

2. 选择控制台对外域名 。

3. 查看 AutoMQ 控制台作为服务提供商（SP）的身份信息。将 SP 信息提交给企业 IdP 管理员录入。管理员可手工复制信息或直接下载元数据文件。

   1. SP EntityID： 用于标识 AutoMQ 控制台的唯一标识。

   2. Assertion consumer Service URL ：ACS URL 是 AutoMQ 作为 SP 接受 SAML Response 的唯一地址，需要配置到 IdP。

   3. AutoMQ SP 证书 ：用于申明 AutoMQ 签名请求的的证书。

步骤三：在企业 IdP 配置 AutoMQ 服务

企业 IdP 管理员在步骤二获取 SP 信息后，需要将 AutoMQ 控制台的 SP 信息配置到 IdP 服务中。该步骤根据不同的 IdP 服务，操作有所不同。下方列出常见的 IdP 配置方法。

Auth0

1. 登录到 Auth0 账号。

2. 选择 Applications。

3. 点击 Create Application。

4. 输入应用名称。

5. 选择 Regular Web Applications 并点击 Create。

6. 应用创建完成后，前往 Addons 设置页面开启 SAML2.0 配置。

7. 点击 SAML 2 WEB APP 选项，打开设置页面，配置如下参数：

   1. 在 Application Callback URL 参数框设置从 AutoMQ 控制台获取的 ACS URL。

8. 点击 Enable 并保存。

9. 在 Usage Tab 页面, 记录 Identity Provider Login URL , Issuer URN , 和 **Identity Provider Certificate ** 信息，用于步骤四的 IdP 信息录入。

OKTA

1. 在 Okta 管理员控制台中，依次点击 Applications 。

2. 点击** Add Application** ，开始创建自定义应用。

3. 选择** SAML 2.0 ** 应用类型。

4. 输入 App Name， 点击下一步。

5. 设置 SP 相关的参数，按照下方说明填写，点击下一步。

   1. Single sign-on URL：填写第二步获取的 SP 提供的 ACS URL。

   2. Audience URI (SP Entity ID)：填写第二步获取的 SP 提供的 SP Entity ID。

   3. Name ID format：按照企业的规范，填写唯一标识的字段，推荐邮箱地址。

   4. Application username ：按照企业的规范，填写唯一标识的字段，推荐使用 OKTA 的用户名。

6. 点击完成，即可完成 SP 的录入，点击下载元数据配置文件，用于步骤四的 IdP 信息填写。

tip

注意：

OKTA 中新建应用后，未分配此应用的 OKTA 用户默认无法使用 AutoMQ 应用。因此建议根据需求，对相关的用户分配应用。

步骤四：AutoMQ 控制台完成 IdP 录入

在企业 IdP 配置完成后，还需要将 IdP 的信息录入 AutoMQ 控制台，完成连通。AutoMQ 控制台支持手工录入以及直接上传元数据文件方式录入。需要填写的信息如下：

• IdP 别名： 用于区分 IdP 的信息，支持中英文字母、数字、中划线和下划线，长度限定 3-64 个字符。

• IdP Entity ID： 用于识别 IdP 的唯一标识。

• IdP SSO URL： IdP 为 AutoMQ 控制台分配的唯一登录地址。

• IdP 证书 ：IdP 用于签名加密 SAML 响应的证书信息。

• UserID 映射（可选）： AutoMQ 从 SAML 响应中提取唯一用户 ID 标识的属性字段，如不设置将采用默认值。

• UserName 映射（可选）： AutoMQ 从 SAML 响应中提取展示的环境成员名称的属性字段，如不设置将和 UserID 保持一致。

• Session 过期时间映射（可选）： AutoMQ 从 SAML 响应中提取标识 Session 过期时间的字段，如不设置将默认设置为 6 小时。

高阶属性字段设置参考如下：

步骤五：SSO 用户登录

完成 IdP 录入以及 SSO 配置后，AutoMQ 控制台即可使用 SSO 登录。

tip

注意：

新用户直接使用 SSO 登录后，默认无环境操作权限，仍需环境管理员进行操作授权才可访问具体的资源。

环境管理员也可提前创建 SSO 成员，并分配预定的操作角色，后续 SSO 成员登录后即可正常操作控制台。