单点登录
使用外部身份提供程序(IDP)将单符号(SSO)配置为Insight平台。dota2必威联赛此功能允许您从现有的单一登录解决方案上进行身份验证和控制用户访问Insight平台。dota2必威联赛
一些受欢迎的SAML 2.0兼容的身份提供者是:
- okta:https://support.okta.com/help/s/article/40561903-Configuring-Inbound-SAML
- Microsoft Active Directory:https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-single-sign-on-portal.
- ONELOGIN:https://developers.onelogin.com/saml/app-catalog.
- Centrify:https://docs.centrify.com/content/pplications/appscustom/addconfigsaml.htm.
- 二:https://duo.com/docs/dag-generic.
您还可以配置多因素身份验证本地用户和IdP用户的选项。
如果您决定使用SSO身份验证,那么平台管理员将不能再向Insight平台添加用户。dota2必威联赛所有新用户必须通过外部身份提供程序添加。
在你开始之前
安全断言标记语言(SAML)是一种标准,用于根据用户在另一个上下文中的会话将用户登录到应用程序中。这种单点登录(SSO)登录标准比使用用户名/密码登录有显著的优势:无需键入凭据。
您要使用的任何IDP都必须符合SAML 2.0合规性要求,您可以在此处阅读,您可以在此处阅读:https://en.wikipedia.org/wiki/saml-based_products_and_services.
要测试IDP是否合规,您可以使用免费的SAML测试工具,例如以下内容:
您的证书必须是Base64-Encoded X.509证书链与DER编码。如果您有CER编码的证书,则可以转换以下说明:https://knowledge.digicert.com/solution/so26449.html.
开始
使用身份提供者:
在以下配置外部身份提供程序的说明中,此文档使用OKTA作为IDP示例。
但是,在设置任何SAML 2.0兼容IDP时,应适用相同的过程。
添加IDP证书
在Insight平台中配置IDP设置之前,您需要:dota2必威联赛
下载证书
您必须是IdP的管理员才能下载此证书。此外,您还必须是Insight平台的平台管理员。dota2必威联赛阅读你可以做什么dota2必威联赛Insight平台用户个人资料.
以下步骤是那些使用Okta作为IdP的人的明确说明。
要下载Okta IdP证书,您必须首先在您的外部IdP上创建一个应用程序,该应用程序将代表Rapid7 Insight Platform。dota2必威联赛
要这样做:
- 登录okta。
- 选择行政从右上角按钮。
- 在OKTA仪表板上,确保右上右键表示“Classic UI”。
- 展开“应用程序”下拉列表并选择应用程序页。
- 点击绿色添加应用程序按钮。
- 点击绿色创建新的应用程序按钮。出现“创建新的应用程序集成”窗口。
- 在“平台”字段中,确保选择了“Web”选项。
- 用于“签署方法”,选择Saml 2.0.选项然后单击创建按钮。
- 为您的应用程序提供名称,并选择添加应用程序徽标并选择“应用程序可见性选项”。
- 单击Next按钮。
- 点击下载okta证书按钮。
添加IDP证书
证书下载完成后,进入Insight平台。dota2必威联赛
要将OKTA IDP证书添加到Insight平台:dota2必威联赛
- 1 .登录Insight平台dota2必威联赛。
- 在左侧菜单中,选择设置页。
- 选择身份验证设置标签。
- 选择SSO的设置标签。
- 点击打开SSO启用切换。
- 拖放IDP证书,或单击浏览链接以在您的本地机器上搜索它。
- 点击上传按钮以添加证书。
您将看到确认上传的绿色复选标记已完成。如果证书无效,则会看到红色错误消息。
配置SAML设置
使用Insight Platform SSO页面上提供的信息将IDP与Idota2必威联赛nsight平台配置。
要这样做:
- 在Insight平台上的“SSO设置”选项卡上,单击“dota2必威联赛复制按钮从“ACS URL”字段复制值。
断言消费者服务(ACS)是服务提供商的端点(URL)负责接收和解析SAML断言。某些服务提供商可以使用ACS的不同术语。
- 返回OKTA或您的IDP并将值粘贴到“URL上的单个标志”字段中。
- 返回Insight平台,然后dota2必威联赛单击复制按钮从“受众URL”字段中复制值。
Audience URL中的值是一个SAML断言,它指定断言所针对的单一用户。“Audience”表示服务提供商。一些服务提供商可能使用不同的术语。
- 返回OKTA或IDP并将值粘贴到“受众URI(SP实体ID)”字段中。
- 返回到dota2必威联赛Insight平台> SSO设置标签并单击复制按钮从“默认中继状态”字段复制值。
- 返回OKTA或IDP并将值粘贴到“默认relaystate”字段中。
- 在Okta“属性语句”部分,或者在IDP中添加以下属性语句。对于Insight平台的身份验证,这些是必须的。dota2必威联赛
提供此信息的值可能因IdP厂商而异。例如,一些IdP供应商可能使用givenName而不是given_name。Name必须始终包含在SAML断言中,这一点非常关键。下表概述了您需要包括的名称。
的名字 |
价值 |
---|---|
FirstName |
user.firstname. |
姓 |
user.lastname. |
电子邮件 |
user.email. |
SAML属性名称
如前所述,一些服务提供者可能对相同的属性使用不同的术语。例如,强制性属性FirstName可以在外部IdP中引用为given_name、givenName或简单地gn。姓氏可以是family_name、姓氏或sn。
- 点击下一个按钮然后单击结束按钮。
虽然OKTA屏幕表示这些字段是可选的,但它们是强制性的。您必须为Insight平台SSO设置配置用户值的属性语句,以便将SAML断言映射到用户值。dota2必威联赛
然后,您将看到刚刚配置的应用程序的单个应用程序仪表板。
配置Insight平台dota2必威联赛
完成IDP后,收集Insight平台的以下信息:dota2必威联赛
- 发行人URL
- 单点登录URL
要找到这些值:
- 在您应用的单个应用程序仪表板中,单击视图设置说明“SAML 2.0”表下方的按钮。您将看到标题为“如何为[您的应用程序]配置SAML 2.0的页面。
- 复制第二个值的URL,“Identity Provider发布者”并返回Insight平台。dota2必威联赛此URL是将发出SAML2安全令牌的身份提供商的唯一标识符。
- 返回Insight平台并将值dota2必威联赛粘贴到“发行版URL”字段中。
- 从“Identity Provider Single Lang-On URL”字段中复制第一个值。
- 返回Insight平台并将Udota2必威联赛RL粘贴到“单点登录URL”中。
- 点击提交按钮以验证IDP证书。您将看到确认消息。
- 如果您的证书到期,请单击更改证书按钮上传新证书。
单击“”,可以删除或更改IdP证书更改证书或者删除纽扣。请注意,单击页面底部的“删除”按钮时,它将永久删除先前的IDP配置。
向IdP中添加用户
完成配置后,将用户添加到IDP并将其连接到Rapid7 Insight平台。dota2必威联赛
在您的IDP中,您需要授予用户访问Insight平台。dota2必威联赛
要为Okta中的用户添加访问:
- 选择目录下拉,并选择人们选项。
- 查找并选择要提供访问权限的用户,或添加新用户。
- 选择用户后,单击指定应用程序按钮。
- 搜索以前创建的应用程序,然后单击分配按钮。
- 检查用户名是否正确,然后单击保存并回去按钮。
- 点击完毕按钮。
用户现在应该可以从IdP访问Insight平台。dota2必威联赛
对于用户访问Insight平台,他们应该:dota2必威联赛
- 登录IDP。
- 如果适用,请选择并回答安全问题。
- 点击创建我的账户按钮。
用户登录后应看到Insight平台应用。dota2必威联赛对于Okta用户,这个应用程序位于Okta仪表盘。
- 点击dota2必威联赛应用程序。洞察平台dota2必威联赛将在用户登录时加载。
- 如果用户无法访问任何Insight产品,请单击申请进入该组织拥有的任何产品上的按钮。
- 为Insight平台配置IdP设置的本地用户,并且是平台管理员,应该这样做dota2必威联赛授予对用户的访问权限.
在“用户管理”页面上,您将看到从身份提供程序添加的用户名旁边的图标。这些用户只能通过IDP登录,并无法在本地登录到Insight平台。dota2必威联赛
设置默认访问配置文件
如果您的组织有大型用户群,您可以设置默认访问配置文件从外部身份提供程序(IDP)中简化添加用户到Insight平台的过程。dota2必威联赛默认访问配置文件指定可以轻松地用于提供新用户的预定义权限和产品分配。
洞察平台本地用户dota2必威联赛
如果您购买或试用了Rapid7产品,您可能有多个本地用户可以通过insight.rapid7.com登录Insight平台。dota2必威联赛这些用户也可以通过您的身份提供商登录,如果他们有相同的登录电子邮件地址。
Rapid7建议通过Insight平台删除本地用户dota2必威联赛用户管理而不是配置这些用户从外部IdP访问Insight平台。dota2必威联赛
但是,请维护至少一个本地平台管理员用户,以支持外部IdP配置或故障排除。
你仍然可以配置密码策略为您的用户。