在 IdP 启动模式中链接 Talend Administration Center

以下步骤在 Talend Administration Center 的Configuration (配置) > SSO选项卡上执行。

1. 登录 Talend Administration Center。
2. 从 Configuration (配置) 页中，展开 SSO 节点。
3. 如果 SSO 尚未启用，请在 Use SSO Login (使用 SSO 登录) 字段中选择 true。

   

4. 在 IDP metadata (IDP 元数据) 字段中单击 Launch Upload (启动上传)，并上传您之前从身份提供者系统下载的身份提供者 (IdP) 元数据文件。
5. 在 Service Provider Entity ID (服务提供者实体 ID) 字段中，输入您的服务提供者的实体 ID (可在 IdP 的配置中找到)。
   此链接 提供一些例子供参考。
6. 在 IDP Authentication Plugin (IDP 身份验证插件) 下拉列表中选择“Identity Provider (身份提供者)”。

   如果选择了自定义插件， Upload IDP Authentication Plugin (上传 IDP 身份验证插件) 对话框将提示您上传自定义身份提供者元数据文件。

   由 Talend 提供的 jar 文件位于 <TomcatPath>/webapps/org.talend.administrator/idp/plugins 目录中。

   如果需要，可以重写身份验证代码。

   Identity Provider System (身份提供者系统) 字段会根据您的身份提供者系统自动更改。

7. 单击 Identity Provider Configuration (身份提供者配置) 并填写所需信息。
   此链接 提供一些例子供参考。
8. 将 Use Role Mapping (使用角色映射) 字段设置为 true，以映射身份提供者系统中定义的应用程序工程类型和用户角色。
   在身份提供者端定义工程类型/角色以后，您将无法从 Talend Administration Center 中编辑它们。
9. 单击 Mapping Configuration (映射配置) 并用之前在身份提供者系统中设置的对应 SAML 特性来填写角色/工程类型字段。
   工程类型例子：

   • MDM = MDM
   • DI = DI
   • DM = DM
   • NPA = NPA

   角色例子：

   • Talend Administration Center 角色

     • Administrator (管理员) = tac_admin
     • Operation Manager (操作管理员) = tac_om

     设置 Talend Administration Center 角色为必选项。

   • Talend Data Preparation 角色

     • Administrator (管理员) = dp_admin
     • Data Preparator (数据准备员) = dp_dp
   • Talend Data Stewardship 角色

     • Data Steward (数据专员) = tds_ds

     身份提供者中设置的工程类型和角色在用户登录时改写 Talend Administration Center中设置的角色。

   如果您的组织没有接受 SAML 令牌中的自定义特性，则：

   1. 在向导中选择 Show Advanced Configuration (显示高级配置)，在 Path to Value (路径到值) 中，输入到目标 SAML 值的 XPath 表达式，以映射到对应的 Talend Administration Center 对象 (Project Types [工程类型]、Roles [角色]、Email [电子邮件]、First Name [名字]、Last Name [姓氏])。

      例子：/saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()

   2. 将 Use Role Mapping (使用角色映射) 设置为 false。

      在此情况下，您无法手动创建用户，但是可以在 Talend Administration Center 中编辑用户类型和用户角色。

      当用户第一次登录时，他们的类型为 No Project Access (无工程访问权限)。

   默认登录超时设为 120 秒，可通过将具有所需超时的 sso.config.clientLoginTimeout 参数添加到 <ApplicationPath>/WEB-INF/classes/configuration.properties 文件进行更改。

10. 在 Redirect URL on Logout (在退出时重定向 URL) 字段中，输入您希望浏览器在从 Talend Administration Center 退出时重定向到的 IDP 的 URL。如果此字段为空，在退出时您将重定向到 Talend Administration Center 的默认位置。