SAML验证
RapidMiner提供了一个方便的单点登录(SSO)功能,使用事实上的标准SAML 2.0,与任何现有的身份访问管理(IAM)平台无缝集成。
用户身份验证安全断言标记语言提供:
- 管理员以灵活的方式配置可以使用RapidMiner Server的用户集,并为他们分配适当的权限。
- 用户通过使用他们现有的企业身份提供者(IdP),以方便的方式对自己进行身份验证。
配置SAML时,RapidMiner Server请求IdP服务提供商对用户进行身份验证,例如Auth0或Microsoft Azure Active Directory.RapidMiner Server的数据库中没有存储SAML用户的密码。相反,登录尝试由IdP管理,IdP响应SAML授权决策。
如果登录成功,则根据配置在RapidMiner Server上分配组成员镜组以及SAML响应中提供的组成员关系。
缺省情况下,SAML身份验证是禁用的,因为它需要管理员进行一些配置。
设置步骤
要使用RapidMiner Server与SAML,需要以下步骤:
- RapidMiner服务器必须设置为HTTPS -参见启用HTTPS
- 必须配置IdP以正确处理RapidMiner -参见设置IdP与RapidMiner使用在下面。
- RapidMiner必须配置为SAML使用-参见启用SAML身份验证
- RapidMiner必须配置镜组
设置IdP与RapidMiner使用
必须将RapidMiner服务器和IdP设置为相互正确通信。
RapidMiner服务器的设置描述在启用SAML身份验证.
IdP设置取决于提供程序。下面是两个常见的提供程序和一些有用的配置注意事项:
Auth0看到https://auth0.com/docs/protocols.saml/saml-idp-generic.应用程序的一些基本设置如下:
- 应用回调URL: https://SERVER_DNS:PORT/saml/SSO
- 应用程序类型:“常规Web应用程序”
- 令牌端点身份验证方法:Post
- 允许的回调url: https://SERVER_DNS:PORT/saml/SSO
- 允许的注销url: https://SERVER_DNS:PORT/saml/SLO
Microsoft Azure活动目录参见https://docs.microsft.com/en-us/azure/active-directory/develop/quickstart-register-app.应用程序的一些基本设置如下:
- 重定向URI类型' Web ' -重定向URI https://SERVER_DNS:PORT/saml/SSO
- 注销URL https://SERVER_DNS:PORT/saml/SLO
- 隐式授予选定的“访问令牌”和“ID令牌”。
- 在Manifest中包含“groupMembershipClaims”:“All”,在“createdDateTime”键下面,更多信息请参见https://docs.microsoft.com/en-us/azure/active-directory/develop/reference-app-manifest
- 在有关用户的SAML消息中提供给Rapidminer服务器的“组”是该组的Microsoft Azure Active Directory ObjectId。当在RapidMiner定义的组和IdP提供的组之间进行映射时,管理员必须使用这些ObjectIds,而不是组字符串名称。在设置[镜像组]配置时,记住这一点非常重要。
阅读更多:
- 启用SAML身份验证
- 设置镜组配置自动管理LDAP/SAML用户
- 配置用户名和组过滤器将对RapidMiner Server的访问限制为一组特定的LDAP用户
- 加密本地安全设置
- 启用HTTPS
- 可以扩展Radoop Proxy以支持此身份验证方法,请参阅文档在这里.
