Okta SAML 集成指南 （Org2Org）

本集成指南介绍了如何将 Okta 设置为 Redis Cloud 账户的 SAML 单点登录提供商。

本指南介绍如何将 Okta 配置为 Redis Cloud 账户的 SAML 单点登录身份提供商 （IdP）。

本指南介绍如何使用 Org2Org 应用程序模板。您还可以使用 Generic application 模板。

要了解有关 Redis Cloud 对 SAML 的支持的更多信息，请参阅 SAML 单点登录。

在完成本指南之前，您必须验证要与 SAML 设置关联的任何域的所有权。

第 1 步：设置您的身份提供商

创建 Okta SAML 集成应用程序

创建 Okta“Org2Org”SAML 集成应用程序。

1. 登录到 Okta Admin Console。

2. 从左侧菜单中，选择 Applications。

3. 选择 Browse App Catalog。

4. 找到并选择 Okta Org2Org。

   

5. 找到应用程序后，单击“添加”。

   

6. 在 Org2Org 应用程序 General Settings 部分输入此字段，然后选择 Next：

   • 应用标签：Redis Cloud
   

7. 在 Sign-On Options > Attributes 部分中输入以下字段：

   • 名称：redisAccountMapping
   • 名称格式：Basic
   • 值：appuser.redisAccountMapping
   警告：

   为确保角色映射不会生效，请不要跳过输入appuser.redisAccountMapping在 Value 字段中。
   

8. 接下来，选择 View Setup Instructions。此时会打开一个新的浏览器窗口，其中提供了在 Redis Cloud 中配置 IdP 所需的信息。

   

9. 向下滚动到页面中的第 6 部分，并记下以下信息：

   • IdP 颁发者 URI
   • IdP 单点登录 URL
   • IdP 签名证书：单击链接并将证书下载到您的硬盘
   

   捕获信息后，关闭窗口，返回 Okta Admin Console，然后选择 “完成”。

修改应用程序用户配置文件

1. 在左侧菜单中，选择 Directory > Profile Editor，然后选择 Redis Cloud User。

   

2. 选择 Add Attribute 以将自定义属性添加到用户配置文件并指定 Redis Cloud 角色。

   

3. 为新的 custom 属性添加以下信息：

   • 数据类型：string array
   • 显示名称：redisAccountMapping
   • 变量 nam：redisAccountMapping
   • 描述：redisAccountMapping
   • 所需属性：Yes
   • 组优先级：Combine values across groups
   

4. 添加属性后，它将显示在用户档案属性列表中。

   

5. 向应用程序添加 Redis Cloud 图标，因为用户更容易识别应用程序。选择应用程序徽标上的铅笔图标，然后按照以下步骤上传 Redis 图像：

   

第 2 步：创建组并分配应用程序

现在我们的 SAML IdP 已配置完毕，请创建一个 Okta 组并分配 Redis Cloud 应用程序。

创建组

1. 在左侧菜单中，选择 Directory > Groups，然后选择 Add group。

   

2. 输入 Name 和 Description。

   

将用户分配到组

1. 选择组，然后选择 分配人员。

   

2. 对于要添加到组中的每个用户，请在表中突出显示该用户，然后选择 +。您还可以通过选择 Add all （全部添加） 来添加所有用户。将所有用户添加到组后，选择 Save （保存）。

   

将应用程序分配给组

现在，您的组已填充了其用户，请将 SAML 集成应用程序分配给您的组。

1. 从菜单中选择 Applications > Applications > Redis Cloud。然后，选择 Assign to groups （分配给组）。

   

2. 在 Redis Cloud User Group （Redis 云用户组） 中，选择 * 分配 * 。

   

3. 现在，定义此组的 Redis 账户映射字符串 default，然后选择 Save and go back。键值对由小写角色名称（所有者、成员、管理者、billing_admin或查看者）和您在账户设置中找到的 Redis Cloud 账户 ID 组成。选择 “Done”。

   

   映射字段现在定义为组的每个成员的默认值。

   

编辑组的映射字段

要修改 Redis 映射字段，请在“Redis Cloud”应用程序屏幕中选择 Redis Cloud 组的铅笔图标。

您可以在显示的编辑屏幕上修改整个组的映射字段。

编辑特定用户的映射字段

要在单个用户级别覆盖 Redis 映射字段，请选择 People 菜单，然后选择要修改的字段的 person 的铅笔图标。

将用户的 Assignment master 设置为Administrator以启用组策略覆盖。选择 Save （保存）。

用户的 Type 设置为Individual.

在显示的屏幕上，选择用户的铅笔图标以修改 Redis 映射字段。

第 3 步：在 Redis Cloud 中配置 SAML 支持

现在，您已经准备好了测试 IdP 服务器和用户组，请在 Redis Cloud 中配置对 SAML 的支持。

登录 Redis Cloud

在 Redis Cloud 控制台上登录您的账户。

在访问管理中激活 SAML

要激活 SAML，您必须具有具有所有者角色的本地用户（或社交登录用户）。如果您具有正确的权限，则会启用 Single Sign-On （单点登录） 选项卡。

1. 添加您之前在设置表单中保存的信息（步骤 1），包括：

   • 颁发者 （IdP 实体 ID）：IdP 颁发者 URI
   • IdP 服务器 URL：IdP 单点登录 URL
   • 断言签名证书：将您下载的文件拖放到表单文本区域中的磁盘。
   

2. 选择 Enable 并等待几秒钟，让状态发生变化。然后，下载服务提供商 （SP） 元数据。将文件保存到本地硬盘。

   

3. 在任何文本编辑器中打开文件。保存元数据中的以下文本：

   • EntityID：服务提供商 （SP） 的唯一名称
   
   • Location：断言使用者服务的位置
   

4. 返回 Okta，选择 Applications > Redis Cloud > General，然后选择 Edit。

   

5. 在 Advanced Sign-on Settings 中更新此信息。

   • 中心 ACS URL：使用您为 Location （位置） 复制的信息。
   • 受众 URI：使用您为 EntityID 复制的信息。
   

选择 Save （保存）。

IdP 发起的 SSO

要将 IdP 发起的 SSO 与身份提供商一起使用，请将 RelayState 参数设置为 URLhttps://cloud.redis.io/#/login/?idpId=<ID>.

返回 Redis Cloud 控制台

1. 返回 Redis Cloud 控制台，然后选择 Activate（激活）。

   

   此时将显示一个弹出窗口，说明要测试 SAML 连接，您需要使用 Redis Cloud 组中定义的用户的 Okta 凭证登录。此用户是您将 Redis Cloud 应用程序分配到的组的一部分。

   

2. 此时将显示 Okta 登录屏幕。输入凭据并选择 Sign In（登录）。

   

3. 如果测试成功，则会显示下一个屏幕。您的本地帐户现在被视为 SAML 帐户。接下来，要登录到 Redis Cloud 控制台，请选择 Sign in with SSO（使用 SSO 登录）。

   

4. 输入您的 SAML 电子邮件，然后选择 Login

   

您已成功将 SAML 配置为身份提供商。