Настройка SSO с Okta
Это руководство описывает функцию плана dbt Cloud Enterprise. Если вы хотите узнать больше о плане Enterprise, свяжитесь с нами по адресу sales@getdbt.com.
Эти документы по настройке SSO применимы только к многопользовательским развертываниям Enterprise.
Okta SSO
dbt Cloud Enterprise по�ддерживает одноразовую аутентификацию (SSO) через Okta (с использованием SAML). В настоящее время поддерживаются следующие функции:
- Инициированное IdP SSO
- Инициированное SP SSO
- Провизия "по требованию"
Это руководство описывает процесс настройки аутентификации в dbt Cloud с помощью Okta.
Конфигурация в Okta
Создание нового приложения
Примечание: Вам потребуется доступ администратора к вашей организации Okta, чтобы следовать этому руководству.
Сначала войдите в свою учетную запись Okta. Используя панель администратора, создайте новое приложение.
Создание нового приложенияНа следующем экране выберите следующие настройки:
- Платформа: Web
- Метод входа: SAML 2.0
Нажмите Create, чтобы продолжить процесс настройки.
Настройка нового приложенияНастройка приложения Okta
На странице Общие настройки введите следующие данные:
- Имя приложения: dbt Cloud
- Логотип приложения (необязательно): Вы �можете скачать логотип dbt и загрузить его в Okta, чтобы использовать в качестве логотипа для этого приложения.
Нажмите Next, чтобы продолжить.
Настройка общих параметров приложенияНастройка SAML
Страница настроек SAML определяет, как Okta и dbt Cloud будут взаимодействовать. Вам потребуется использовать соответствующий URL доступа для вашего региона и плана.
Для завершения этого раздела вам потребуется login slug. Этот slug контролирует URL, по которому пользователи вашей учетной записи могут войти в ваше приложе�ние через Okta. Обычно login slugs представляют собой название вашей организации в нижнем регистре, разделенное дефисами. Он должен содержать только буквы, цифры и дефисы. Например, login slug для dbt Labs будет dbt-labs. Login slugs должны быть уникальными для всех учетных записей dbt Cloud, поэтому выберите slug, который уникально идентифицирует вашу компанию.
Следующие шаги используют YOUR_AUTH0_URI и YOUR_AUTH0_ENTITYID, которые необходимо заменить на соответствующий Auth0 SSO URI и Auth0 Entity ID для вашего региона.
- URL одноразовой аутентификации:
https://YOUR_AUTH0_URI/login/callback?connection=<login slug> - Audience URI (SP Entity ID):
urn:auth0:<YOUR_AUTH0_ENTITYID>:{login slug} - Relay State:
<login slug>
Настройка параметров SAML приложенияИспользуйте формы Attribute Statements и Group Attribute Statements, чтобы сопоставить атрибуты пользователей и групп вашей организации в Okta с форматом, который ожидает dbt Cloud.
Ожидаемые User Attribute Statements:
| Имя | Формат имени | Значение | Описание |
|---|---|---|---|
email | Не указан | user.email | Электронная почта пользователя |
first_name | Не указан | user.firstName | Имя пользователя |
last_name | Не указан | user.lastName | Фамилия пользователя |
Ожидаемые Group Attribute Statements:
| Имя | Формат имени | Фильтр | Значение | Описание |
|---|---|---|---|---|
groups | Не указан | Соответствует регулярному выражению | .* | Группы, к которым принадлежит пользователь |
Примечание: Вы можете использовать более строгий Group Attribute Statement, чем показано в примере выше. Например, если все ваши группы dbt Cloud начинаются с DBT_CLOUD_, вы можете использовать фильтр, такой как Starts With: DBT_CLOUD_. Okta возвращает только 100 групп для каждого пользовател�я, поэтому, если ваши пользователи принадлежат более чем 100 группам IdP, вам потребуется использовать более строгий фильтр. Пожалуйста, свяжитесь с поддержкой, если у вас есть вопросы.
Настройка атрибутов пользователей и групп приложенияНажмите Next, чтобы продолжить.
Завершение настройки Okta
Выберите Я клиент Okta, добавляющий внутреннее приложение, и выберите Это внутреннее приложение, которое мы создали. Нажмите Finish, чтобы завершить настройку приложения.
Завершение настройки в OktaПросмотр инструкций по настройке
На следующей странице нажмите View Setup Instructions. На следующих шагах вы предоставите эти значения в настройках учетной записи dbt Cloud, чтобы завершить интеграцию между Okta и dbt Cloud.
Просмотр настроенного приложения
Инструкции по настройке приложенияКонфигурация в dbt Cloud
Чтобы завершить настройку, выполните следующие шаги в dbt Cloud.
Предоставление учетных данных
Сначала перейдите на страницу Enterprise > Single Sign On в разделе настроек учетной записи. Затем нажмите кнопку Edit и укажите следующие данные SSO:
Slug, настроенный здесь, должен иметь такое же значение, как и Okta RelayState, настроенный на предыдущих шагах.
| Поле | Значение |
|---|---|
| Log in with | Okta |
| Identity Provider SSO Url | Вставьте URL одноразовой аутентификации провайдера идентификации, показанный в инструкциях по настройке Okta |
| Identity Provider Issuer | Вставьте Поставщик удостоверений, показанный в инструкциях по настройке Okta |
| X.509 Certificate | Вставьте Сертификат X.509, показанный в инструкциях по настройке Okta; Примечание: Когда срок действия сертификата истечет, администратор Okta должен будет сгенерировать новый, чтобы встави�ть его в dbt Cloud для непрерывного доступа к приложению. |
| Slug | Введите желаемый login slug. Пользователи смогут войти в dbt Cloud, перейдя по адресу https://YOUR_ACCESS_URL/enterprise-login/LOGIN-SLUG, заменив YOUR_ACCESS_URL на соответствующий URL доступа для вашего региона и плана. Login slugs должны быть уникальными для всех учетных записей dbt Cloud, поэтому выберите slug, который уникально идентифицирует вашу компанию. |
Настройка приложения в dbt Cloud- Нажмите Save, чтобы завершить настройку интеграции с Okta. Отсюда вы можете перейти по URL, сгенерированному для slug вашей учетной записи, чтобы протестировать вход с помощью Okta. Кроме того, пользователи, добавленные в приложение Okta, смогут войти в dbt Cloud непосредственно из Okta.
Теперь пользователи могут войти в dbt Cloud, перейдя по следующему URL, заменив LOGIN-SLUG на значение, использованное на предыдущих шагах, и YOUR_ACCESS_URL на соответствующий URL доступа для вашего региона и плана:
https://YOUR_ACCESS_URL/enterprise-login/LOGIN-SLUG
Настройка RBAC
Теперь, когда вы завершили настройку SSO с Okta, следующими шагами будет настройка групп RBAC для завершения конфигурации управления доступом.