Перейти к основному содержимому

Обзор Единого входа (SSO)

Этот обзор объясняет, как пользователи создаются в dbt Cloud через Единый вход (SSO). dbt Cloud поддерживает JIT (Just-in-Time) создание пользователей и вход, инициированный провайдером идентификации (IdP). Вы можете узнать больше о поддерживаемых нами опциях здесь.

Предварительные условия

  • У вас должна быть учетная запись dbt Cloud, зарегистрированная в плане Enterprise. Свяжитесь с нами, чтобы узнать больше и зарегистрироваться.

URI для Auth0

URI, используемый для SSO-подключений на многопользовательских экземплярах dbt Cloud, будет различаться в зависимости от региона, в котором размещен ваш dbt Cloud. Чтобы найти URI для вашей среды в dbt Cloud:

  1. Перейдите в Настройки аккаунта и нажмите Единый вход в левом меню.
  2. Нажмите Редактировать в панели Единый вход.
  3. Выберите соответствующего Поставщика удостоверений из выпадающего списка, и значения Логин-слуга и Значения поставщика удостоверений будут заполнены для этого поставщика.
Пример значений поставщика удостоверений для провайдера SAML 2.0Пример значений поставщика удостоверений для провайдера SAML 2.0

Процесс SSO

Диаграмма ниже объясняет основной процесс, по которому пользователи создаются в dbt Cloud при входе с использованием SSO.

Диаграмма SSOДиаграмма SSO

Объяснение диаграммы

  • Страница входа: Пользователь заходит на страницу входа в dbt Cloud, инициируя процесс SSO.
  • Вход, инициированный IdP: Пользователь заходит на страницу входа в dbt Cloud через провайдера идентификации, выбрав приложение dbt Cloud. Это начнет процесс входа IdP.
  • Страница входа IdP: Пользователю предлагается войти в провайдер идентификации. Это предоставит приложению dbt Cloud доступ к данным их учетной записи.
  • Вход?: Пользователь может выбрать продолжение или отмену процесса входа.
    • Да: Пользователь входит, предоставляет доступ приложению dbt Cloud и продолжает.
    • Нет: Пользователь не входит. Они возвращаются на страницу входа IdP.
  • Пользователь существует?: Этот шаг проверяет, существует ли пользователь уже в базе данных пользователей dbt Cloud.
    • Да: Если да, пропустить процесс создания пользователя.
    • Нет: Если нет, создать новую запись в базе данных dbt Cloud для нового пользователя.
  • Создание пользователя dbt Cloud: Это создаст новую запись в базе данных dbt Cloud для нового пользователя. Эта запись пользователя содержит адрес электронной почты пользователя, имя и фамилию, а также любые атрибуты IdP (например, группы), переданные от провайдера идентификации.
  • Присоединение соответствующих учетных записей: dbt Cloud находит все учетные записи, настроенные для соответствия конфигурации SSO, используемой этим пользователем для входа, и затем создает запись лицензии пользователя, связывающую пользователя с учетной записью. Этот шаг также удалит любые лицензии, которые пользователь не должен иметь на основе текущей конфигурации SSO.
  • Присоединение соответствующих разрешений (групп): dbt Cloud проходит по группам на соответствующих учетных записях и находит все, которые соответствуют одной из следующих категорий:
    • Имеют группу сопоставления SSO, назначенную пользователю.
    • Имеют опцию "Назначать по умолчанию". Затем назначает все эти (и только эти) разрешения лицензии пользователя. Этот шаг также удалит любые разрешения, которые пользователь не должен иметь на основе текущих сопоставлений групп SSO.
  • Приложение dbt Cloud: После этих шагов пользователь перенаправляется в приложение dbt Cloud и может начать его использовать в обычном режиме.

Принудительное использование SSO

  • Принудительное использование SSO: Если в вашей организации включен SSO, dbt Cloud будет требовать вход только через SSO для всех пользователей, не являющихся администраторами. По умолчанию, если у администратора учетной записи или администратора безопасности уже есть пароль, они могут продолжать входить с использованием пароля. Чтобы ограничить администраторов в использовании паролей, отключите Разрешить вход с паролем для администраторов учетной записи в разделе Единый вход настроек вашей учетной записи.
  • Повторная аутентификация SSO: dbt Cloud будет запрашивать повторную аутентификацию через вашего провайдера SSO каждые 24 часа для обеспечения высокой безопасности.

Как должны входить пользователи, не являющиеся администраторами?

Пользователи, не являющиеся администраторами, которые в настоящее время входят с использованием пароля, больше не смогут этого делать. Они должны входить, используя URL для входа в dbt Enterprise или провайдера идентификации (IdP). Например, Okta, Microsoft Entra ID (ранее Azure AD) и т.д.

Лучшие практики безопасности

Существуют несколько сценариев, которые могут потребовать входа с использованием пароля. Мы рекомендуем следующие лучшие практики безопасности для двух наиболее распространенных сценариев:

  • Введение в работу партнеров и подрядчиков — Мы настоятельно рекомендуем добавлять партнеров и подрядчиков в ваш провайдер идентификации. IdP, такие как Okta и Microsoft Entra ID, предлагают возможности специально для временных сотрудников. Мы настоятельно рекомендуем обратиться к вашей IT-команде для предоставления лицензии SSO для этих ситуаций. Использование IdP очень безопасно, снижает риск утечки и значительно повышает уровень безопасности вашей среды dbt Cloud.
  • Провайдер идентификации не работает — Администраторы учетных записей смогут продолжать входить с использованием пароля, что позволит им работать с вашим провайдером идентификации для устранения проблемы.
  • Вывод администраторов из системы — При выводе администраторов из системы отзовите доступ к dbt Cloud, удалив пользователя из вашей среды; в противном случае они смогут продолжать использовать учетные данные имени пользователя/пароля для входа.

Следующие шаги для пользователей, не являющихся администраторами, которые в настоящее время входят с использованием паролей

Если у вас есть пользователи, не являющиеся администраторами, которые в настоящее время входят в dbt Cloud с использованием пароля:

  1. Убедитесь, что у всех пользователей есть учетная запись в вашем провайдере идентификации и они назначены в dbt Cloud, чтобы они не потеряли доступ.
  2. Уведомите всех пользователей dbt Cloud, что они больше не смогут использовать пароль для входа, если они уже не являются администраторами с паролем.
  3. Мы НЕ РЕКОМЕНДУЕМ повышать пользователей до администраторов только для сохранения входа на основе пароля, так как это снизит безопасность вашей среды dbt Cloud.
0
Отредактировать эту страницу