Dotcom 监视器支持使用 SAML 2.0 进行 SSO(单点登录)登录。 SAML 提供在客户端的身份提供程序和 Dotcom 监视器服务之间传输身份验证数据。 所有用户登录信息都存储在身份提供程序端,而不是由 Dotcom 监视器存储,这保证了高级别的安全性和更好的用户体验。
在系统中设置权限组后,Dotcom 监视器会将这些组映射到我们的 用户角色 ,并相应地授予对 Dotcom 监视器系统的访问权限。
在本文中,我们将提供使用 Active Directory FS (ADFS) 和 AZURE Active Directory (Azure AD) 作为标识提供者启用 SSO 所需的步骤。 此外,还提供了 OKTA SAML 集成的分步指南。
通常,建议在活动目录内设置多个组中权限级别不同的 Dotcom 监视器用户。 但是,如果用户属于 Dotcom-Monitor 中的两个或两个以上的权限级别,则最低权限级别将优先于权限较高的级别。 例如,如果用户在 Dotcom-Monitor 平台中同时分配了查看器(仅限阅读)和电源用户角色,则将在 SSO 登录期间应用查看器角色权限。
-
具有活动目录FS的SSO
-
带AZURE活动目录的 SSO
-
与 OKTA 的 SSO
为部门配置 SSO
如果您为 Dotcom 监视器帐户创建了部门,则可以将 SSO 用户配置为登录到该帐户。
要为部门启用 SSO,在 AD 中为 Dotcom-Monitor 目的保留的组或角色的名称中添加部门名称作为后缀。 使用双连字符作为分隔符:
<AD Group Name>--<Department Name>
若要使用 Dotcom 监视器设置 SSO,请使用以下名称在目录服务中配置 SSO 角色:
| AD 组名称 (SSO 角色) | 网络监视器中的用户角色 |
| 网络Monitor_Administrators | 管理 |
| 互联网Monitor_Users | 用户 |
| 互联网Monitor_Accounting_Users | Accounting |
| 互联网Monitor_ReadOnly_Users | 观众 |
| 网络Monitor_Power_Users | 超级用户 |
| 网络通信Monitor_Operators | 算子 |
例如,若要允许用户使用 高级用户 角色的权限登录到“AlphaDep”部门,请将以下后缀添加到 Dotcom Monitor_Power_Users AD 组:
«Dotcom-Monitor_Power_Users--AlphaDep»
要更改 ADFS 组名,请右键单击组并选择 重命名。 重命名后,请更改弹出框中的”2000 年前窗口”名称或“属性 > 通用 > 组名称”(Windows 2000 前)。
您还可以使用相同的格式逐个添加多个部门的名称。 例如:
«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»
要允许用户登录到 root 帐户,请指定不带部门后缀的相关 AD 组,如上所述:
«Dotcom-Monitor_ReadOnly_Users»
如果用户包含在多个[Dotcom-Monitor_] AD 组中,并配置了 SSO,则将启用登录到所有相应的部门(如果部门存在于 Dotcom-Monitor 帐户中)。
另请参阅: 使用 SSO 登录