Перейти к основному содержимому

Миграция на Auth0 для SSO

dbt Labs сотрудничает с Auth0 для улучшения возможностей единого входа (SSO) в dbt Cloud. Auth0 — это платформа управления идентификацией и доступом (IAM) с расширенными функциями безопасности, которая будет использоваться в dbt Cloud. Эти изменения потребуют некоторых действий от клиентов, у которых сегодня настроен SSO в dbt Cloud, и это руководство опишет необходимые изменения для каждой среды.

Если вы еще не настроили SSO в dbt Cloud, обратитесь к нашим руководствам по настройке для SAML, Okta, Google Workspace или Microsoft Entra ID (ранее Azure AD).

Начало миграции

Функция миграции на Auth0 постепенно внедряется для клиентов, у которых уже включены функции SSO. Когда опция миграции будет доступна в вашей учетной записи, вы увидите Доступны обновления SSO на правой стороне панели меню, рядом с иконкой настроек.

Миграция SSO доступнаМиграция SSO доступна

Кроме того, вы можете начать процесс с Настроек в разделе Единый вход. Нажмите кнопку Начать миграцию, чтобы начать.

Начать миграциюНачать миграцию

После того как вы выбрали начало процесса миграции, следующие шаги будут варьироваться в зависимости от настроенного провайдера идентификации. Вы можете просто перейти к разделу, который подходит для вашей среды. Эти шаги применимы только к клиентам, проходящим миграцию; новые настройки будут использовать существующие инструкции по настройке.

Логин {slug}

Слоги должны содержать только буквы, цифры и дефисы. Убедитесь, что вы удалили подчеркивания (если они есть) из слогов логина:

  • до миграции на странице Настройки учетной записи, или
  • во время миграции (до включения), как показано на скриншотах миграции аутентификации для вашей настройки. После изменения слога администраторы должны поделиться новым URL для входа с пользователями dbt Cloud.

SAML 2.0 и Okta

Пользователи SAML 2.0 должны обновить несколько полей в конфигурации приложения SSO, чтобы они соответствовали новому URL и URI Auth0. Вы можете сделать это, отредактировав существующие настройки приложения SSO или создав новое для учета настроек Auth0. Один подход не является априори лучше другого, поэтому вы можете выбрать тот, который лучше всего подходит для вашей организации.

Поля, которые будут обновлены:

  • URL единого входа — https://<YOUR_AUTH0_URI>/login/callback?connection={slug}
  • URI аудитории (SP Entity ID) — urn:auth0:<YOUR_AUTH0_ENTITYID>:{slug}

Ниже приведены примерные шаги для обновления. Вы должны выполнить все из них, чтобы обеспечить непрерывный доступ к dbt Cloud, и вам следует координировать эти изменения с администратором вашего провайдера идентификации.

  1. Замените {slug} на слог логина вашей организации. Он должен быть уникальным для всех экземпляров dbt Cloud и обычно представляет собой что-то вроде названия вашей компании, разделенного дефисами (например, dbt-labs).

Вот пример обновленной настройки SAML 2.0 в Okta.

Конфигурация Okta с новым URLКонфигурация Okta с новым URL
  1. Сохраните конфигурацию, и ваши настройки SAML будут выглядеть примерно так:
Новая конфигурация Okta завершенаНовая конфигурация Okta завершена
  1. Переключите опцию Enable new SSO authentication, чтобы обеспечить правильную маршрутизацию трафика. Новое действие миграции SSO является окончательным и не может быть отменено
Включить новый SSO для SAML/OktaВключить новый SSO для SAML/Okta
  1. Сохраните настройки и протестируйте новую конфигурацию, используя URL для входа SSO, предоставленный на странице настроек.

Google Workspace

Администраторам Google Workspace, обновляющим свои SSO API с URL Auth0, не придется делать много, если это существующая настройка. Это можно сделать как новый проект или отредактировав существующую настройку SSO. Дополнительные области не требуются, так как это миграция из существующей настройки. Все области были определены во время первоначальной конфигурации.

Ниже приведены шаги для обновления. Вы должны выполнить все из них, чтобы обеспечить непрерывный доступ к dbt Cloud, и вам следует координировать эти изменения с администратором вашего провайдера идентификации.

  1. Откройте консоль Google Cloud и выберите проект с вашими настройками единого входа dbt Cloud. На странице проекта Быстрый доступ выберите API и сервисы
Консоль Google CloudКонсоль Google Cloud
  1. Нажмите Учетные данные в левой панели и выберите соответствующее имя из OAuth 2.0 Client IDs
Выберите OAuth 2.0 Client IDВыберите OAuth 2.0 Client ID
  1. В окне Client ID for Web application найдите поле Authorized Redirect URIs и нажмите Add URI, затем введите https://<YOUR_AUTH0_URI>/login/callback.

Нажмите Сохранить, когда закончите.

Добавить Redirect URIДобавить Redirect URI
  1. Вам понадобится человек с правами администратора Google Workspace, чтобы завершить эти шаги в dbt Cloud. В dbt Cloud перейдите в Настройки учетной записи, нажмите на Единый вход, затем нажмите Редактировать справа от панели SSO. Переключите опцию Enable New SSO Authentication и выберите Сохранить. Это вызовет окно авторизации от Google, которое потребует учетные данные администратора. Действие миграции является окончательным и не может быть отменено. После прохождения аутентификации протестируйте новую конфигурацию, используя URL для входа SSO, предоставленный на странице настроек.
Авторизация домена

Вы должны завершить авторизацию домена до того, как переключите Enable New SSO Authentication, иначе миграция не будет успешно завершена.

Включить новый SSO для Google WorkspaceВключить новый SSO для Google Workspace

Microsoft Entra ID

Администраторам Microsoft Entra ID потребуется внести небольшие изменения в существующее приложение аутентификации в портале Azure. Эта миграция не требует удаления или воссоздания всего приложения; вы можете отредактировать существующее приложение. Начните с открытия портала Azure и перехода к обзору Microsoft Entra ID.

Ниже приведены шаги для обновления. Вы должны выполнить все из них, чтобы обеспечить непрерывный доступ к dbt Cloud, и вам следует координировать эти изменения с администратором вашего провайдера идентификации.

  1. Нажмите Регистрация приложений в левом меню.
Выберите Регистрация приложенийВыберите Регистрация приложений
  1. Выберите соответствующее приложение dbt Cloud (название может варьироваться) из списка. На странице обзора приложения нажмите на гиперссылку рядом с Redirect URI
Нажмите на гиперссылку Redirect URIНажмите на гиперссылку Redirect URI
  1. В панели Web с Redirect URIs нажмите Add URI и введите соответствующий https://<YOUR_AUTH0_URI>/login/callback. Сохраните настройки и убедитесь, что они учтены в обновленном обзоре приложения.
Введите новый redirect URIВведите новый redirect URI
  1. Перейдите в среду dbt Cloud и откройте Настройки учетной записи. Нажмите на опцию Единый вход в левом меню и нажмите Редактировать справа от панели SSO. Поле домен — это домен, который ваша организация использует для входа в Microsoft Entra ID. Переключите опцию Enable New SSO Authentication и Сохранить. Как только эта опция будет включена, она не может быть отменена.
Авторизация домена

Вы должны завершить авторизацию домена до того, как переключите Enable New SSO Authentication, иначе миграция не будет успешно завершена.

Включить новый SSOВключить новый SSO
0
Отредактировать эту страницу