Okta SAML 集成指南（通用）

本集成指南介绍了如何将 Okta 设置为 Redis Cloud 账户的 SAML 单点登录提供商。

Redis 云

本指南介绍如何将 Okta 配置为 Redis Cloud 账户的 SAML 单点登录身份提供商（IdP）。

了解如何使用通用应用程序模板。您还可以参考 Org2Org 应用程序模板。

要了解有关 Redis Cloud 对 SAML 的支持的更多信息，请参阅 SAML 单点登录。

在完成本指南之前，您必须验证要与 SAML 设置关联的任何域的所有权。

第 1 步：设置您的演示身份提供商（IdP）

要创建 Okta SAML 集成应用程序，请执行以下作：

登录到 Okta Admin Console。选择 应用程序 > 创建应用程序集成。
选择 SAML 2.0，然后选择 下一步。
填写 SAML 应用程序常规设置 部分的以下字段：
- 应用名称：Redis Cloud
- 应用程序 logo：上传 Redis 图标。
选择 Next（下一步）。
在 Configure SAML 选项卡中，在 General 部分中输入以下数据：
- 单点登录 URL：http://www.fake.com.这是一个临时的模拟 URL，您稍后将对其进行修改。
- 受众 URI （SP 实体 ID）：http://www.fake.com.这是一个临时的模拟 URL，您稍后将对其进行修改。
- 默认 RelayState：https://cloud.redis.io/#/login/?idpId=XXXXXX.您需要使用idpId后。仅当您需要启动 SAML 流时，才填写此字段。
- 名称 ID forma：Unspecified
- 应用程序用户名：Okta username
- 更新应用程序用户名：Create and update
接下来，添加配置所需的 attribute 语句：
- 属性 1：
  - 名称：redisAccountMapping
  - 名称格式：Basic
  - 值：appuser.redisAccountMapping
- 属性 2：
  - 名称：FirstName
  - 名称格式：Basic
  - 值：user.firstName
- 属性 3：
  - 名称：LastName
  - 名称格式：Basic
  - 值：user.lastName
- 属性 4：
  - 名称：Email
  - 名称格式：Basic
  - 值：user.login
选择 Next（下一步）。
最后一步是 Okta 的可选反馈步骤。选择 I'm an Okta customer adding an internal app（我是 Okta 客户添加内部应用程序），然后选择 Finish（完成）。
接下来，向下滚动新创建的应用程序集成的页面，然后选择 View Setup Instructions。此时将打开一个新的浏览器窗口，提供在 Redis Cloud 中配置 IdP 所需的信息。

向下滚动到 应用程序 > 应用程序，并记下以下信息：
- 身份提供商单点登录 URL
- 身份提供商颁发者
- X.509 证书
保存信息后，关闭窗口。

要修改应用程序用户配置文件：

转到左侧菜单中的 Directory > Profile Editor，然后选择 Redis Cloud User。
将自定义属性添加到您的用户配置文件中，以指定用户拥有的 Redis Cloud 角色以及在哪个账户上。选择 Add Attribute （添加属性）。
为新的 custom 属性添加此信息。
- 数据类型：string array
- 显示名称：redisAccountMapping
- 变量名称：redisAccountMapping
- 描述：redisAccountMapping
- 所需属性：Yes
- 组优先级：Combine values across groups
添加属性后，该属性会显示在配置文件的属性列表中。

第 2 步：创建组并分配应用程序

现在，您的 SAML IdP 已配置完毕，请创建一个 Okta 组并将用户分配给 Redis Cloud 应用程序。

创建组

在左侧菜单中，选择 Directory > Groups，然后选择 Add group。
完成 Name 和 Description，然后单击 Save （保存）。

将用户分配到组

选择组，然后选择 分配人员。
对于要添加到组中的每个用户，请在表中突出显示该用户，然后选择 +。您还可以选择 Add all （全部添加）以添加所有用户。将所有用户添加到组后，选择 Save （保存）。

将应用程序分配给组

现在，您的组已填充了其用户，您可以将 SAML 集成应用程序分配给您的组。从 Applications > Applications > Redis Cloud：

选择 Assign to groups 菜单项。
在 Redis Cloud User Group （Redis 云用户组）中，选择 * 分配 * 。
定义此组的 Redis 账户映射字符串 default，然后选择 Save and Go Back。键值对由小写角色名称（所有者、成员、管理者、billing_admin或查看者）和您在账户设置中找到的 Redis Cloud 账户 ID 组成。选择 “Done”。

映射字段现在已定义为组每个成员的默认值。

编辑组的映射字段

要修改 Redis 映射字段，请在 Redis Cloud 应用程序屏幕中选择 Redis Cloud 组的铅笔图标。

您可以在显示的编辑屏幕上修改整个组的映射字段。

编辑特定用户的映射字段

要在单个用户级别覆盖 Redis 映射字段，请选择 People 菜单，然后选择要修改其字段的人员的铅笔图标。

将用户的 Assignment master （分配主服务器）设置为 Administrator （管理员），从而启用组的策略覆盖。选择 Save （保存）。

用户的 Type 设置为Individual.

在显示的屏幕上，选择用户的铅笔图标以修改 Redis 映射字段。

然后，编辑用户分配。

第 3 步：在 Redis Cloud 中配置 SAML 支持

现在，您已经准备好了测试 IdP 服务器和用户组，请在 Redis Cloud 中配置对 SAML 的支持。

在 Redis Cloud 控制台上登录您的账户。

在 Access Management 中激活 SAML

要激活 SAML，您必须具有具有所有者角色的本地用户（或社交登录用户）。如果您拥有正确的权限，您将看到 Single Sign-On 选项卡。

在设置表单中填写您在步骤 6 中保存的信息，包括：
- IdP 服务器 URL：身份提供商单点登录 URL
- 颁发者：身份提供商颁发者
- 断言签名证书：X.509 证书
选择 Enable 并等待几秒钟，让状态发生变化。然后，您可以下载服务提供商（SP）元数据。将文件保存到本地硬盘。
在任何文本编辑器中打开文件。保存元数据中的以下文本：
- EntityID：服务提供商（SP）的唯一名称
- Location：断言使用者服务的位置
返回 Okta，选择 Applications > Redis Cloud > General，然后选择 Edit。
然后，导航到 配置 SAML（步骤 2）并在 SAML 设置常规 中更新以下信息：
- 单点登录 URL：使用您为 Location （位置）复制的信息。
- 受众 URI （SP 实体 ID）：使用您为 EntityID 复制的信息。
- 默认 RelayState：仅当您希望使用 IdP 启动的流时才需要。从步骤 3 中的位置 URL（最后一个正斜杠“/”之后的内容“）获取 ID，并附加到 URL（例如https://cloud.redis.io/#/login/?idpId=YOUR_LOCATION_ID).
选择 Next（下一步），然后选择 Finish（完成）。

返回 Redis Cloud 控制台

返回 Redis Cloud 控制台，然后选择 Activate（激活）。

此时将显示一个弹出窗口，指出要测试 SAML 连接，您需要使用 Redis Cloud 组中定义的用户的 Okta 凭证登录。此用户是您将 Redis Cloud 应用程序分配到的组的一部分。
此时将显示 Okta 登录屏幕。输入凭据并选择 Sign In（登录）。
如果测试成功，您的本地账户现在被视为 SAML 账户。要继续登录 Redis Cloud 控制台，请选择 Sign in with SSO（使用 SSO 登录）。
输入您的 SAML 电子邮件，然后单击 Login（登录）。
如果在 Redis Cloud 控制台中只定义了一个用户，则会显示一个弹出窗口，您可以在其中选择 Confirm （确认）以将本地用户转换为 SAML 用户。考虑设置除 SAML 用户之外的另一个本地用户。
您已成功将 SAML 配置为身份提供商。