跳至主要内容

SAML SSO 设置

注意

SAML SSO 处于私人预览阶段。请联系 [email protected] 以了解您的组织是否可以使用此功能。

ClickHouse Cloud 通过安全断言标记语言 (SAML) 支持单点登录 (SSO)。这使您可以通过使用您的身份提供商 (IdP) 进行身份验证来安全地登录到您的 ClickHouse Cloud 组织。

我们目前支持服务提供商发起的 SSO、多个组织使用单独连接以及即时预置。我们尚不支持跨域身份管理 (SCIM) 或属性映射系统。

开始之前

您需要在您的 IdP 中拥有管理员权限,并在您的 ClickHouse Cloud 组织中拥有**管理员**角色。在您的 IdP 中设置连接后,请与我们联系,提供以下步骤中请求的信息以完成此过程。

我们建议除了您的 SAML 连接之外,还设置一个**指向您组织的直接链接**,以简化登录过程。每个 IdP 的处理方式都不同。请继续阅读以了解如何在您的 IdP 中执行此操作。

如何配置您的 IdP

所有 IdP

所有设置都需要您的组织 ID。要获取您的组织 ID

  1. 登录到您的 ClickHouse Cloud 组织。

    Organization ID

  2. 在左下角,点击**组织**下的组织名称。

  3. 在弹出菜单中,选择**组织详细信息**。

  4. 记下您的**组织 ID**,以便在下面使用。

配置 Okta SAML

您将在 Okta 中为每个 ClickHouse 组织配置两个应用程序集成:一个 SAML 应用程序和一个用于存放直接链接的书签。

创建组以管理访问:

  1. 以**管理员**身份登录到您的 Okta 实例。

  2. 在左侧选择**组**。

  3. 点击**添加组**。

  4. 输入组的名称和描述。此组将用于在 SAML 应用程序及其相关的书签应用程序之间保持用户一致。

  5. 点击**保存**。

  6. 点击您创建的组的名称。

  7. 点击**分配人员**以分配您希望访问此 ClickHouse 组织的用户。

创建书签应用程序以使用户能够无缝登录:

  1. 在左侧选择**应用程序**,然后选择**应用程序**子标题。

  2. 点击**浏览应用程序目录**。

  3. 搜索并选择**书签应用程序**。

  4. 点击**添加集成**。

  5. 为应用程序选择一个标签。

  6. 将 URL 输入为 https://console.clickhouse.cloud?connection={organizationid}

  7. 转到**分配**选项卡并添加您上面创建的组。

创建 SAML 应用程序以启用连接:

  1. 在左侧选择**应用程序**,然后选择**应用程序**子标题。

  2. 点击**创建应用程序集成**。

  3. 选择 SAML 2.0 并点击下一步。

  4. 输入应用程序的名称,并选中**不向用户显示应用程序图标**旁边的复选框,然后点击**下一步**。

  5. 使用以下值填充 SAML 设置屏幕。

    字段
    单点登录 URLhttps://auth.clickhouse.cloud/login/callback?connection={organizationid}
    受众 URI (SP 实体 ID)urn:auth0:ch-production:{organizationid}
    默认中继状态留空
    名称 ID 格式未指定
    应用程序用户名电子邮件
    在以下情况下更新应用程序用户名创建和更新

  6. 输入以下属性语句。

    字段
    名称email
    名称格式基本
    user.email

  7. 点击**下一步**。

  8. 在反馈屏幕上输入所需信息,然后点击**完成**。

  9. 转到**分配**选项卡并添加您上面创建的组。

  10. 在您新应用程序的**登录**选项卡上,点击**查看 SAML 设置说明**按钮。

    Okta SAML Setup Instructions

  11. 收集以下三项内容,然后转到下面的提交支持案例以完成此过程。

  • 身份提供商单点登录 URL
  • 身份提供商颁发者
  • X.509 证书

配置 Google SAML

您将在 Google 中为每个组织配置一个 SAML 应用程序,并且必须为您的用户提供直接链接 (https://console.clickhouse.cloud?connection={organizationId}) 以供书签使用,如果使用多组织 SSO。

  1. 转到您的 Google 管理控制台 (admin.google.com)。

    Google SAML App

  2. 点击**应用**,然后点击左侧的**网络和移动应用**。

  3. 点击顶部菜单中的**添加应用**,然后选择**添加自定义 SAML 应用**。

  4. 输入应用程序的名称,然后点击**继续**。

  5. 收集以下两项内容,然后转到下面的提交支持案例以向我们提交信息。注意:如果您在复制此数据之前完成了设置,请点击应用程序主屏幕上的**下载元数据**以获取 X.509 证书。

  • SSO URL
  • X.509 证书

  1. 在下面输入 ACS URL 和实体 ID。

    字段
    ACS URLhttps://auth.clickhouse.cloud/login/callback?connection={organizationid}
    实体 IDurn:auth0:ch-production:{organizationid}

  2. 选中**已签名响应**复选框。

  3. 为名称 ID 格式选择**电子邮件**,并将名称 ID 保留为**基本信息 > 主要电子邮件**。

  4. 点击**继续**。

  5. 输入以下属性映射

    字段
    基本信息主要电子邮件
    应用属性email

  6. 点击**完成**。

  7. 要启用该应用程序,请点击所有人的**关闭**,并将设置更改为所有人的**打开**。还可以通过选择屏幕左侧的选项将访问权限限制为组或组织单位。

配置 Azure (Microsoft) SAML

Azure (Microsoft) SAML 也可能被称为 Azure Active Directory (AD) 或 Microsoft Entra。

您将为每个组织设置一个具有单独登录 URL 的应用程序集成。

  1. 登录到 Microsoft Entra 管理中心。

  2. 导航到左侧的**应用程序 > 企业**应用程序。

  3. 点击顶部菜单中的**新建应用程序**。

  4. 点击顶部菜单中的**创建您自己的应用程序**。

  5. 输入名称并选择**集成任何您在库中找不到的其他应用程序(非库)**,然后点击**创建**。

    Azure Non-Gallery App

  6. 点击左侧的**用户和组**并分配用户。

  7. 点击左侧的**单点登录**。

  8. 点击**SAML**。

  9. 使用以下设置填充基本 SAML 配置屏幕。

    字段
    标识符(实体 ID)urn:auth0:ch-production:{organizationid}
    回复 URL(断言使用者服务 URL)https://auth.clickhouse.cloud/login/callback?connection={organizationid}
    登录 URLhttps://console.clickhouse.cloud?connection={organizationid}
    中继状态空白
    注销 URL空白

  10. 在属性和声明下添加 (A) 或更新 (U) 以下内容

    声明名称格式源属性
    (U) 唯一用户标识符(名称 ID)电子邮件地址user.mail
    (A) email基本user.mail
    (U) /identity/claims/name省略user.mail
    Attributes and Claims

  11. 收集以下两项内容,然后转到下面的提交支持案例以完成此过程

  • 登录 URL
  • 证书(Base64)

提交支持案例

  1. 返回到 ClickHouse Cloud 控制台。

  2. 选择左侧的**帮助**,然后选择支持子菜单。

  3. 点击**新建案例**。

  4. 输入主题“SAML SSO 设置”。

  5. 在描述中,粘贴从上述说明中收集的任何链接,并将证书附加到工单。

  6. 请告知我们此连接应允许哪些域名(例如 domain.com、domain.ai 等)。

  7. 创建一个新的案例。

  8. 我们将在 ClickHouse Cloud 中完成设置,并在准备好进行测试时通知您。

  9. 使用您的原始身份验证方法登录,以将管理员角色分配给您的新 SSO 帐户。

    • 对于电子邮件 + 密码帐户,请使用 https://clickhouse.cloud/?with=email
    • 对于社交登录,请点击相应的按钮(**继续使用 Google** 或 **继续使用 Microsoft**)

工作原理

服务提供商发起的 SSO

我们仅使用服务提供商发起的 SSO。这意味着用户访问`https://console.clickhouse.cloud`` 并输入他们的电子邮件地址以重定向到 IdP 进行身份验证。已通过您的 IdP 进行身份验证的用户可以使用直接链接自动登录到您的组织,而无需在登录页面输入其电子邮件地址。

分配用户角色

用户在分配到您的 IdP 应用程序并首次登录后,将出现在您的 ClickHouse Cloud 控制台中。您的组织中至少应为一个 SSO 用户分配管理员角色。使用社交登录或 https://clickhouse.cloud?with=email 以您的原始身份验证方法登录以更新您的 SSO 角色。

删除非 SSO 用户

设置 SSO 用户并为至少一个用户分配管理员角色后,管理员可以使用其他方法(例如社交身份验证或用户 ID + 密码)删除用户。设置 SSO 后,Google 身份验证将继续有效。用户 ID + 密码用户将根据其电子邮件域名自动重定向到 SSO,除非用户使用 https://clickhouse.cloud?with=email

管理用户

ClickHouse Cloud 当前实施 SAML 用于 SSO。我们尚未实施 SCIM 来管理用户。这意味着 SSO 用户必须分配到您 IdP 中的应用程序才能访问您的 ClickHouse Cloud 组织。用户必须登录 ClickHouse Cloud 一次才能出现在组织的“用户”区域中。当用户在您的 IdP 中被删除时,他们将无法使用 SSO 登录 ClickHouse Cloud。但是,SSO 用户仍将显示在您的组织中,直到管理员手动删除用户为止。

多组织 SSO

ClickHouse Cloud 通过为每个组织提供单独的连接来支持多组织 SSO。使用直接链接(https://console.clickhouse.cloud?connection={organizationid})登录到每个相应的组织。请确保在登录另一个组织之前注销一个组织。

其他信息

在身份验证方面,安全是我们的首要任务。出于这个原因,我们在实施 SSO 时做出了一些需要您了解的决定。

  • 我们仅处理服务提供商发起的身份验证流程。用户必须导航到 https://console.clickhouse.cloud 并输入电子邮件地址以重定向到您的身份提供商。为了方便起见,提供了添加书签应用程序或快捷方式的说明,以便您的用户无需记住 URL。

  • 通过您的 IdP 分配到您的应用程序的所有用户必须具有相同的电子邮件域名。如果您希望供应商、承包商或顾问访问您的 ClickHouse 帐户,他们必须具有与您的员工相同的域名(例如 [email protected])的电子邮件地址。

  • 我们不会自动链接 SSO 和非 SSO 帐户。即使用户使用相同的电子邮件地址,您也可能在 ClickHouse 用户列表中看到用户的多个帐户。