Перейти к основному содержимому

Настройка SSO с Microsoft Entra ID (ранее Azure AD)

Функция для Enterprise

Это руководство описывает функцию плана dbt Cloud Enterprise. Если вы хотите узнать больше о плане Enterprise, свяжитесь с нами по адресу sales@getdbt.com.

Эти документы по настройке SSO применимы только к многопользовательским развертываниям Enterprise.

dbt Cloud Enterprise поддерживает одноразовый вход (SSO) через Microsoft Entra ID (ранее Azure AD). Вам понадобятся разрешения для создания и управления новым приложением Entra ID. В настоящее время поддерживаются следующие функции:

  • SSO, инициированный IdP
  • SSO, инициированный SP
  • Провизия "по требованию"

Конфигурация

dbt Cloud поддерживает как одноарендные, так и многоарендные подключения SSO Microsoft Entra ID (ранее Azure AD). Для большинства корпоративных целей вы захотите использовать одноарендный поток при создании приложения Microsoft Entra ID.

Создание приложения

Войдите в портал Azure для вашей организации. Используя страницу Microsoft Entra ID, вам нужно будет выбрать соответствующий каталог и затем зарегистрировать новое приложение.

  1. В разделе Управление выберите Регистрация приложений.
  2. Нажмите + Новая регистрация, чтобы начать создание новой регистрации приложения.
Создание новой регистрации приложенияСоздание новой регистрации приложения
  1. Укажите конфигурации для полей Имя и Поддерживаемые типы учетных записей, как показано в следующей таблице:
ПолеЗначение
Имяdbt Cloud
Поддерживаемые типы учетных записейУчетные записи только в этом организационном каталоге (одноарендный)
  1. Настройте URI перенаправления. В таблице ниже показаны соответствующие значения URI перенаправления для одноарендных и многоарендных развертываний. Для большинства корпоративных случаев использования вы захотите использовать одноарендный URI перенаправления. Замените YOUR_AUTH0_URI на соответствующий URI Auth0 для вашего региона и плана.
Тип приложенияURI перенаправления
Одноарендный (рекомендуется)https://YOUR_AUTH0_URI/login/callback
Многоарендныйhttps://YOUR_AUTH0_URI/login/callback
Настройка новой регистрации приложенияНастройка новой регистрации приложения
  1. Сохраните регистрацию приложения, чтобы продолжить настройку SSO Microsoft Entra ID.
Конфигурация с новым интерфейсом Microsoft Entra ID (опционально)

В зависимости от ваших настроек Microsoft Entra ID, ваша страница регистрации приложения может выглядеть иначе, чем показано на предыдущих скриншотах. Если вас не просят настроить URI перенаправления на странице Новая регистрация, выполните шаги 6 - 7 ниже после создания регистрации приложения. Если вы смогли настроить URI перенаправления на предыдущих шагах, перейдите к шагу 8.

  1. После регистрации нового приложения без указания URI перенаправления, нажмите на Регистрация приложения и затем перейдите на вкладку Аутентификация для нового приложения.

  2. Нажмите + Добавить платформу и введите URI перенаправления для вашего приложения. См. шаг 4 выше для получения дополнительной информации о правильном значении URI перенаправления для вашего приложения dbt Cloud.

Настройка URI перенаправленияНастройка URI перенаправления

Сопоставление пользователей и групп Azure <-> dbt Cloud

important

Существует ограничение на количество групп, которые Azure будет передавать (ограничено 150) через токен SSO, что означает, что если пользователь принадлежит более чем 150 группам, это будет выглядеть так, как будто он не принадлежит ни одной. Чтобы предотвратить это, настройте назначения групп с приложением dbt Cloud в Azure и установите запрос группы, чтобы Azure передавал только соответствующие группы.

Пользователи и группы Azure, которые вы создадите в следующих шагах, сопоставляются с группами, созданными в dbt Cloud, на основе имени группы. Обратитесь к документации по корпоративным разрешениям для получения дополнительной информации о том, как пользователи, группы и наборы разрешений настроены в dbt Cloud.

Добавление пользователей в корпоративное приложение

После регистрации приложения следующим шагом будет назначение пользователей. Добавьте пользователей, которых вы хотите сделать видимыми для dbt, с помощью следующих шагов:

  1. Вернитесь в Каталог по умолчанию (или Главная) и нажмите Корпоративные приложения.
  2. Нажмите на имя приложения, созданного ранее.
  3. Нажмите Назначить пользователей и группы.
  4. Нажмите Добавить пользователя/группу.
  5. Назначьте дополнительных пользователей и группы по мере необходимости.
Добавление пользователей в корпоративное приложениеДобавление пользователей в корпоративное приложение
Требуется назначение пользователей?

В разделе Свойства проверьте настройку переключателя для Требуется назначение пользователей? и убедитесь, что она соответствует вашим требованиям. Большинство клиентов захотят, чтобы это было переключено на Да, чтобы только пользователи/группы, явно назначенные dbt Cloud, могли войти в систему. Если эта настройка переключена на Нет, любой пользователь сможет получить доступ к приложению, если у него есть прямая ссылка на приложение в соответствии с документацией Microsoft Entra ID.

Настройка разрешений

  1. Вернитесь в Каталог по умолчанию (или Главная) и затем Регистрация приложений.
  2. Выберите ваше приложение и затем выберите Разрешения API.
  3. Нажмите +Добавить разрешение и добавьте разрешения, показанные ниже.
Имя APIТипРазрешение
Microsoft GraphДелегированноеDirectory.AccessAsUser.All
Microsoft GraphДелегированноеDirectory.Read.All
Microsoft GraphДелегированноеUser.Read
  1. Сохраните эти разрешения, затем нажмите Предоставить согласие администратора, чтобы предоставить согласие администратора для этого каталога от имени всех ваших пользователей.
Настройка разрешений приложенияНастройка разрешений приложения

Создание клиентского секрета

  1. В разделе Управление нажмите Сертификаты и секреты.
  2. Нажмите +Новый клиентский секрет.
  3. Назовите клиентский секрет "dbt Cloud" (или аналогично), чтобы идентифицировать секрет.
  4. Выберите 730 дней (24 месяца) в качестве значения срока действия для этого секрета (рекомендуется).
  5. Нажмите Добавить, чтобы завершить создание значения клиентского секрета (не ID клиентского секрета).
  6. Запишите сгенерированный клиентский секрет в безопасное место. Позже в процессе настройки мы используем этот клиентский секрет в dbt Cloud для завершения настройки интеграции.
Настройка сертификатов и секретовНастройка сертификатов и секретов
Запись клиентского секретаЗапись клиентского секрета

Сбор клиентских учетных данных

  1. Перейдите на страницу Обзор для регистрации приложения.
  2. Обратите внимание на ID приложения (клиента) и ID каталога (арендатора), показанные в этой форме, и запишите их вместе с вашим клиентским секретом. Мы будем использовать эти ключи на следующих шагах для завершения настройки интеграции в dbt Cloud.
Сбор учетных данных. Храните их в безопасном местеСбор учетных данных. Храните их в безопасном месте

Настройка dbt Cloud

Чтобы завершить настройку, выполните следующие шаги в приложении dbt Cloud.

Предоставление учетных данных

  1. В dbt Cloud нажмите на имя вашей учетной записи в левом меню и выберите Настройки учетной записи.
  2. Нажмите Одноразовый вход в меню.
  3. Нажмите кнопку Редактировать и укажите следующие данные SSO:
ПолеЗначение
Войти с помощьюMicrosoft Entra ID Single Tenant
ID клиентаВставьте ID приложения (клиента), записанный на предыдущих шагах
Секрет клиентаВставьте Секрет клиента (не забудьте использовать значение секрета вместо ID секрета) из предыдущих шагов;
Примечание: Когда срок действия клиентского секрета истечет, администратор Entra ID должен будет сгенерировать новый, чтобы вставить его в dbt Cloud для непрерывного доступа к приложению.
ID арендатораВставьте ID каталога (арендатора), записанный на предыдущих шагах
ДоменВведите имя домена для вашего каталога Azure (например, fishtownanalytics.com). Используйте только основной домен; это не заблокирует доступ для других доменов.
SlugВведите желаемый slug для входа. Пользователи смогут войти в dbt Cloud, перейдя по адресу https://YOUR_ACCESS_URL/enterprise-login/LOGIN-SLUG, заменив YOUR_ACCESS_URL на соответствующий URL доступа для вашего региона и плана. Slug для входа должен быть уникальным для всех учетных записей dbt Cloud, поэтому выберите slug, который уникально идентифицирует вашу компанию.
Настройка Entra ID AD SSO в dbt CloudНастройка Entra ID AD SSO в dbt Cloud
  1. Нажмите Сохранить, чтобы завершить настройку интеграции SSO Microsoft Entra ID. Отсюда вы можете перейти к URL-адресу входа, сгенерированному для slug вашей учетной записи, чтобы протестировать вход с помощью Entra ID.
Вход в систему

Теперь пользователи могут войти в dbt Cloud, перейдя по следующему URL, заменив LOGIN-SLUG на значение, использованное на предыдущих шагах, и YOUR_ACCESS_URL на соответствующий URL доступа для вашего региона и плана:

https://YOUR_ACCESS_URL/enterprise-login/LOGIN-SLUG

Настройка RBAC

Теперь, когда вы завершили настройку SSO с Entra ID, следующими шагами будет настройка групп RBAC для завершения конфигурации управления доступом.

Советы по устранению неполадок

Убедитесь, что имя домена, под которым существуют учетные записи пользователей в Azure, совпадает с доменом, который вы указали в Предоставление учетных данных при настройке SSO.

Получение домена пользователя из AzureПолучение домена пользователя из Azure
0
Отредактировать эту страницу