跳转到主要内容
跳转到主要内容
编辑此页面

SAML SSO 设置

注意

SAML SSO 处于私有预览阶段。请联系 [email protected] 以了解您的组织是否可以使用此功能。

ClickHouse Cloud 通过安全断言标记语言 (SAML) 支持单点登录 (SSO)。这使您能够通过使用您的身份提供商 (IdP) 进行身份验证,安全地登录到您的 ClickHouse Cloud 组织。

我们目前支持服务提供商发起的 SSO、使用单独连接的多个组织以及即时配置。我们尚不支持跨域身份管理系统 (SCIM) 或属性映射。

开始之前

您将需要在您的 IdP 中具有管理员权限,并在您的 ClickHouse Cloud 组织中具有 **管理员** 角色。在您的 IdP 中设置连接后,请按照以下步骤中的要求联系我们以完成该过程。

我们建议除了 SAML 连接之外,还设置一个 **指向您组织的直接链接**,以简化登录过程。每个 IdP 的处理方式都不同。请继续阅读以了解如何为您的 IdP 执行此操作。

如何配置您的 IdP

所有 IdP

所有设置都需要您的组织 ID。要获取您的组织 ID

  1. 登录到您的 ClickHouse Cloud 组织。

    Organization ID

  2. 在左下角,单击 **组织** 下方的组织名称。

  3. 在弹出菜单中,选择 **组织详细信息**。

  4. 记下您的 **组织 ID** 以供下面使用。

配置 Okta SAML

您将为每个 ClickHouse 组织在 Okta 中配置两个应用程序集成:一个 SAML 应用程序和一个书签,用于存放您的直接链接。

创建一个组来管理访问权限:

  1. 以 **管理员** 身份登录到您的 Okta 实例。

  2. 在左侧选择 **组**。

  3. 单击 **添加组**。

  4. 输入组的名称和描述。此组将用于保持 SAML 应用程序及其相关书签应用程序之间的用户一致性。

  5. 单击 **保存**。

  6. 单击您创建的组的名称。

  7. 单击 **分配人员** 以分配您希望有权访问此 ClickHouse 组织的用户。

创建一个书签应用程序以使用户能够无缝登录:

  1. 在左侧选择 **应用程序**,然后选择 **应用程序** 子标题。

  2. 单击 **浏览应用程序目录**。

  3. 搜索并选择 **书签应用程序**。

  4. 单击 **添加集成**。

  5. 为应用程序选择一个标签。

  6. 将 URL 输入为 https://console.clickhouse.cloud?connection={organizationid}

  7. 转到 **分配** 选项卡,并添加您上面创建的组。

创建一个 SAML 应用程序以启用连接:

  1. 在左侧选择 **应用程序**,然后选择 **应用程序** 子标题。

  2. 单击 **创建应用程序集成**。

  3. 选择 SAML 2.0,然后单击 **下一步**。

  4. 输入您的应用程序的名称,并选中 **不向用户显示应用程序图标** 旁边的复选框,然后单击 **下一步**。

  5. 使用以下值填充 SAML 设置屏幕。

    字段
    单点登录 URLhttps://auth.clickhouse.cloud/login/callback?connection={organizationid}
    受众 URI (SP 实体 ID)urn:auth0:ch-production:{organizationid}
    默认 RelayState留空
    名称 ID 格式未指定
    应用程序用户名电子邮件
    更新应用程序用户名于创建和更新

  6. 输入以下属性声明。

    字段
    名称电子邮件
    名称格式基本
    user.email

  7. 单击 **下一步**。

  8. 在反馈屏幕上输入请求的信息,然后单击 **完成**。

  9. 转到 **分配** 选项卡,并添加您上面创建的组。

  10. 在新应用程序的 **登录** 选项卡上,单击 **查看 SAML 设置说明** 按钮。

    Okta SAML Setup Instructions

  11. 收集以下三项,然后转到下面的 **提交支持案例** 以完成该过程。

  • 身份提供商单点登录 URL
  • 身份提供商颁发者
  • X.509 证书

配置 Google SAML

您将在 Google 中为每个组织配置一个 SAML 应用程序,如果使用多组织 SSO,则必须为您的用户提供直接链接 (https://console.clickhouse.cloud?connection={organizationId}) 以添加书签。

  1. 转到您的 Google 管理控制台 (admin.google.com)。

    Google SAML App

  2. 在左侧单击 **应用**,然后单击 **Web 和移动应用**。

  3. 从顶部菜单单击 **添加应用**,然后选择 **添加自定义 SAML 应用**。

  4. 输入应用程序的名称,然后单击 **继续**。

  5. 收集以下两项,然后转到下面的 **提交支持案例** 以向我们提交信息。注意:如果您在复制此数据之前完成了设置,请从应用程序的主屏幕单击 **下载元数据** 以获取 X.509 证书。

  • SSO URL
  • X.509 证书

  1. 在下面输入 ACS URL 和实体 ID。

    字段
    ACS URLhttps://auth.clickhouse.cloud/login/callback?connection={organizationid}
    实体 IDurn:auth0:ch-production:{organizationid}

  2. 选中 **已签名响应** 的复选框。

  3. 为名称 ID 格式选择 **电子邮件**,并将名称 ID 保留为 **基本信息 > 主要电子邮件**。

  4. 单击 **继续**。

  5. 输入以下属性映射

字段
基本信息主要电子邮件
应用程序属性电子邮件

  1. 单击 **完成**。

  2. 要启用应用程序,请单击 **对所有人关闭**,然后将设置更改为 **对所有人开启**。也可以通过选择屏幕左侧的选项将访问权限限制为组或组织部门。

配置 Azure (Microsoft) SAML

Azure (Microsoft) SAML 也可能被称为 Azure Active Directory (AD) 或 Microsoft Entra。

您将为每个组织设置一个应用程序集成,并使用单独的登录 URL。

  1. 登录到 Microsoft Entra 管理中心。

  2. 在左侧导航到 **应用程序 > 企业应用程序**。

  3. 在顶部菜单单击 **新应用程序**。

  4. 在顶部菜单单击 **创建您自己的应用程序**。

  5. 输入名称,然后选择 **集成在库中找不到的任何其他应用程序(非库)**,然后单击 **创建**。

    Azure Non-Gallery App

  6. 在左侧单击 **用户和组** 并分配用户。

  7. 在左侧单击 **单点登录**。

  8. 单击 **SAML**。

  9. 使用以下设置填充基本 SAML 配置屏幕。

    字段
    标识符(实体 ID)urn:auth0:ch-production:{organizationid}
    回复 URL (断言使用者服务 URL)https://auth.clickhouse.cloud/login/callback?connection={organizationid}
    登录 URLhttps://console.clickhouse.cloud?connection={organizationid}
    Relay State空白
    注销 URL空白

  10. 在 **属性和声明** 下添加 (A) 或更新 (U) 以下内容

    声明名称格式源属性
    (U) 唯一用户标识符(名称 ID)电子邮件地址user.mail
    (A) 电子邮件基本user.mail
    (U) /identity/claims/name省略user.mail
    Attributes and Claims

  11. 收集以下两项,然后转到下面的 **提交支持案例** 以完成该过程

  • 登录 URL
  • 证书 (Base64)

提交支持案例

  1. 返回到 ClickHouse Cloud 控制台。

  2. 在左侧选择 **帮助**,然后选择 **支持** 子菜单。

  3. 单击 **新建案例**。

  4. 输入主题“SAML SSO 设置”。

  5. 在描述中,粘贴从上述说明中收集的任何链接,并将证书附加到工单。

  6. 另请告知我们应允许哪些域用于此连接(例如 domain.com、domain.ai 等)。

  7. 创建新案例。

  8. 我们将在 ClickHouse Cloud 中完成设置,并在准备好测试时通知您。

  9. 使用您的原始身份验证方法登录,以将管理员角色分配给您的新 SSO 帐户。

    • 对于电子邮件 + 密码帐户,请使用 https://clickhouse.cloud/?with=email。
    • 对于社交登录,请单击相应的按钮(**使用 Google 继续** 或 **使用 Microsoft 继续**)

工作原理

服务提供商发起的 SSO

我们仅使用服务提供商发起的 SSO。这意味着用户访问 https://console.clickhouse.cloud 并输入他们的电子邮件地址,以便重定向到 IdP 进行身份验证。已经通过您的 IdP 验证的用户可以使用直接链接自动登录到您的组织,而无需在登录页面输入他们的电子邮件地址。

分配用户角色

用户在分配到您的 IdP 应用程序并首次登录后,将出现在您的 ClickHouse Cloud 控制台中。至少应将一个 SSO 用户分配为您组织中的管理员角色。使用社交登录或 https://clickhouse.cloud?with=email 以使用您的原始身份验证方法登录来更新您的 SSO 角色。

删除非 SSO 用户

设置 SSO 用户并至少分配一个用户管理员角色后,管理员可以使用其他方法(例如社交身份验证或用户 ID + 密码)删除用户。设置 SSO 后,Google 身份验证将继续有效。用户 ID + 密码用户将根据其电子邮件域自动重定向到 SSO,除非用户使用 https://clickhouse.cloud?with=email。

管理用户

ClickHouse Cloud 目前为 SSO 实施 SAML。我们尚未实施 SCIM 来管理用户。这意味着 SSO 用户必须分配到您 IdP 中的应用程序才能访问您的 ClickHouse Cloud 组织。用户必须登录 ClickHouse Cloud 一次才能出现在组织中的 **用户** 区域中。当用户在您的 IdP 中被删除时,他们将无法使用 SSO 登录到 ClickHouse Cloud。但是,SSO 用户仍将显示在您的组织中,直到管理员手动删除该用户。

多组织 SSO

ClickHouse Cloud 通过为每个组织提供单独的连接来支持多组织 SSO。使用直接链接 (https://console.clickhouse.cloud?connection={organizationid}) 登录到每个相应的组织。请务必在一个组织中注销后再登录到另一个组织。

附加信息

在身份验证方面,安全是我们的首要任务。因此,我们在实施 SSO 时做出了一些决定,需要您了解。

  • 我们只处理服务提供商发起的身份验证流程。用户必须导航到 https://console.clickhouse.cloud 并输入电子邮件地址才能重定向到您的身份提供商。为了您的方便,我们提供了添加书签应用程序或快捷方式的说明,以便您的用户无需记住 URL。

  • 通过您的 IdP 分配到您的应用程序的所有用户都必须具有相同的电子邮件域。如果您有希望访问您的 ClickHouse 帐户的供应商、承包商或顾问,他们必须具有与您的员工相同的域(例如 [email protected])的电子邮件地址。

  • 我们不会自动链接 SSO 和非 SSO 帐户。即使您的用户使用相同的电子邮件地址,您也可能会在您的 ClickHouse 用户列表中看到他们的多个帐户。