单点登录 (SSO)

AuraDB 虚拟专用云 AuraDS 企业版 AuraDB 业务关键型

SSO 级别

组织管理员可以配置组织级 SSO (org SSO) 和项目级 SSO (project SSO)。

SSO 是一种登录方法,访问权限、角色和许可权由基于角色的访问控制 (RBAC) 决定。

  • Org SSO:允许组织管理员限制用户在尝试访问组织时如何登录。登录之外的访问权限通过 RBAC 进行管理。

  • 项目级 SSO:影响在该项目中创建的新数据库实例。它确保使用 SSO 登录的用户可以访问项目中的数据库实例。它取决于 RBAC,用户是否可以访问和查看或修改数据库实例本身中的数据。对于此级别,角色映射可用于根据用户在其身份提供商 (IdP) 中的角色授予他们不同级别的访问权限。它**不**授予编辑项目设置的权限,例如编辑项目名称、网络访问或编辑实例设置(例如重命名实例或暂停和恢复)。

SSO 组织级别角色

以下角色可在组织级别使用,并通过邀请分配

  • 所有者

  • 管理员

  • 成员

表 1. 角色
功能 所有者 管理员 成员

列出组织

列出组织项目

更新组织

添加项目

列出现有 SSO 配置

添加 SSO 配置

列出项目级别的 SSO 配置

更新项目级别的 SSO 配置

删除项目级别的 SSO 配置

邀请非所有者用户加入组织

列出用户

列出角色

列出项目的成员

[1]

邀请所有者加入组织

添加所有者

删除所有者

将项目转移到组织或从组织转移

[2]

1. 管理员只能列出其也是成员的项目的成员。

2. 所有者需要同时拥有源组织和目标组织的权限。

登录方法

每个 SSO 级别的登录方法都不同。管理员可以配置一个或多个登录方法的组合。

Org SSO 支持

  • 电子邮件/密码

  • Okta

  • Microsoft Entra ID

  • Google SSO(不是 Google Workspace SSO)

组织的管理员可以从组织的应用程序仪表板中的磁贴中添加 Aura 作为登录。

Project SSO 支持

  • 用户/密码

  • Okta

  • Microsoft Entra ID

但是,在项目级别,您无法禁用用户/密码,但在组织级别,只要您配置了至少一个其他自定义 SSO 提供程序,就可以禁用电子邮件/密码和 Google SSO。

设置要求

使用 SSO 访问 Aura 需要

  • 授权码流

  • 一个公开可访问的 IdP 服务器

要配置 SSO,请转到**Aura 控制台 > 设置 > SSO 配置**。

要创建 SSO 配置,需要发现 URI 或发行者、授权端点、令牌端点和 JWKS URI 的组合。

支持提供的单个实例级 SSO 配置

支持可以协助

  • 特定于数据库实例的角色映射

  • 除了groups之外的自定义组声明

  • 更新已运行实例上的 SSO

如果您需要支持帮助,请访问客户支持并提交支持工单,其中包含以下信息

  1. 您要使用 SSO 的项目的项目 ID。有关如何查找您的项目 ID的更多信息,请参阅项目

  2. 您的 IdP 的名称