将 Talend Administration Center 连接到身份提供者
步骤
- 登录 Talend Administration Center。
- 从 Configuration (配置) 页中,展开 SSO 节点。
- 如果 SSO 尚未启用,请在 Use SSO Login (使用 SSO 登录) 字段中选择 true。
- 在 IDP metadata (IDP 元数据) 字段中单击 Launch Upload (启动上传),并上传您之前从身份提供者系统下载的身份提供者 (IdP) 元数据文件。
-
在 Service Provider Entity ID (服务提供者实体 ID) 字段中,输入您的服务提供者的实体 ID (可在 IdP 的配置中找到)。
此链接 提供一些例子供参考。
-
在 IDP Authentication Plugin (IDP 身份验证插件) 字段中单击 Launch Upload (启动上传),并上传您之前从身份提供者系统下载的身份提供者元数据文件。
由 Talend 提供的 jar 文件位于 <TomcatPath>/webapps/org.talend.administrator/idp/plugins 目录中。
如果需要,可以重写身份验证代码。
Identity Provider System (身份提供者系统) 字段会根据您的身份提供者系统自动更改。
-
单击 Identity Provider Configuration (身份提供者配置) 并填写所需信息。
此链接 提供一些例子供参考。
-
将 Use Role Mapping (使用角色映射) 字段设置为 true,以映射身份提供者系统中定义的应用程序工程类型和用户角色。
在身份提供者端定义工程类型/角色以后,您将无法从 Talend Administration Center 中编辑它们。
-
单击 Mapping Configuration (映射配置) 并用之前在身份提供者系统中设置的对应 SAML 特性来填写角色/工程类型字段。
工程类型例子:
- MDM = MDM
- DI = DI
- DM = DM
- NPA = NPA
角色例子:
-
Talend Administration Center 角色
- Administrator (管理员) = tac_admin
- Operation Manager (操作管理员) = tac_om
设置 Talend Administration Center 角色为必选项。
-
Talend Data Preparation 角色
- Administrator (管理员) = dp_admin
- Data Preparator (数据准备员) = dp_dp
-
Talend Data Stewardship 角色
- Data Steward (数据专员) = tds_ds
Role Mappings 属性: 如果是安全标识符列表,则需要将 SAML 属性名 (tac.role) 的默认值更改为 tokenGroups。
身份提供者中设置的工程类型和角色在用户登录时改写 Talend Administration Center 中设置的角色。
如果您的组织没有接受 SAML 令牌中的自定义特性,则:
-
在向导中选择 Show Advanced Configuration (显示高级配置),在 Path to Value (路径到值) 中,输入到目标 SAML 值的 XPath 表达式,以映射到对应的 Talend Administration Center 对象 (Project Types [工程类型]、Roles [角色]、Email [电子邮件]、First Name [名字]、Last Name [姓氏])。
例子:/saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()
-
将 Use Role Mapping (使用角色映射) 设置为 false。
在此情况下,您无法手动创建用户,但是可以在 Talend Administration Center 中编辑用户类型和用户角色。
当用户第一次登录时,他们的类型为 No Project Access (无工程访问权限)。
默认登录超时设为 120 秒,可通过将具有所需超时的 sso.config.clientLoginTimeout 参数添加到 <ApplicationPath>/WEB-INF/classes/configuration.properties 文件进行更改。
结果
您可以通过身份提供者登录 Talend Administration Center 了。