BentoCloud SAML 单点登录¶
SAML 是一种基于 XML 的开放标准,用于在身份提供商(IdP)和服务提供商(SP)之间传输用户认证和授权数据。在此上下文中,BentoCloud 充当服务提供商,允许您的用户使用您组织的身份提供商进行身份验证。这意味着您的用户可以使用其现有的公司或组织凭据安全地访问 BentoCloud 资源。
获取 SAML 配置参数¶
您需要通过安全通道将以下 SAML 配置参数提供给 BentoML 团队。
SAML 颁发者:这是您身份提供商的实体 ID。例如,对于 Okta (Auth0),它通常遵循此格式:
urn:************.us.auth0.comSAML 身份提供商证书:您的身份提供商用于签名 SAML 断言的 X.509 证书。
SAML 身份提供商登录 URL:用户在登录期间将被重定向到的身份验证端点 URL。例如,对于 Okta (Auth0),它通常遵循此格式:
https://**********.us.auth0.com/samlp/********************
注意
BentoML 团队将邀请您加入他们的安全保管库平台以共享这些参数。如果您尚未设置,请向 BentoML 团队提供一个电子邮件地址,以便发送安全保管库邀请。
配置您的身份提供商¶
在您的身份提供商(例如,Okta)中,创建一个新的 SAML 2.0 应用程序(或等效项)。您需要添加以下设置
应用程序回调 URL:
https://bentoml-prod.firebaseapp.com/__/auth/handler
应用程序登录 URI:
https://<your-org-name>.cloud.bentoml.com/signup
确保将 <your-org-name> 替换为 BentoCloud 提供的子域或组织名称。登录 URI 是用户将被定向到的 BentoCloud 中的端点,用于启动 SAML 登录过程。
验证并测试 SAML 设置¶
在 BentoML 在 BentoCloud 上配置 SAML 后,请验证您是否可以通过 https://<your-org-name>.cloud.bentoml.com/signup 访问 BentoCloud 注册/登录页面。您应该只能看到一个使用 SSO 继续选项,该选项应将您重定向到您的身份提供商的登录页面。使用您的身份提供商凭据登录后,您应该被重定向回 BentoCloud 并拥有活动会话。
管理用户¶
当新用户通过 SSO 登录时,BentoCloud 会自动在您的组织下创建一个新用户帐户。默认情况下,新创建的用户帐户被分配开发者角色。如果您希望更改新用户的角色,组织管理员可以通过 BentoCloud 管理界面修改用户角色。
需要注意的是,在您的 SSO 提供商中删除或禁用用户不会自动将其从 BentoCloud 中移除。用户的会话将保持有效,直到过期。要完全移除用户对 BentoCloud 的访问权限,组织管理员必须在 BentoCloud 平台内手动删除该用户的成员资格。