将 Talend Administration Center 连接到身份提供者 - 7.2

Talend MDM Platform 安装指南,适用于:Windows

EnrichVersion
7.2
EnrichProdName
Talend MDM Platform
task
数据治理
EnrichPlatform
Talend Activity Monitoring Console
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend Data Preparation
Talend Data Stewardship
Talend DQ Portal
Talend ESB
Talend Identity and Access Management
Talend Installer
Talend JobServer
Talend Log Server
Talend MDM Server
Talend MDM Web UI
Talend Repository Manager
Talend Runtime
Talend SAP RFC Server
Talend Studio

过程

  1. 登录 Talend Administration Center
  2. 如果 SSO 尚未启用,请在 Use SSO Login (使用 SSO 登录) 字段中选择 true
  3. IDP metadata (IDP 元数据) 字段中单击 Launch Upload (启动上传),并上传您之前从身份提供者系统下载的身份提供者 (IdP) 元数据文件。
  4. Service Provider Entity ID (服务提供者实体 ID) 字段中,输入您的服务提供者的实体 ID (可在 IdP 的配置中找到)。
    例如,在 Okta 和 ADFS 中为 http://<host>:<port>/org.talend.administrator/ssologin,或在 PingFederate 中为 <Connection ID>
  5. IDP Authentication Plugin (IDP 身份验证插件) 字段中单击 Launch Upload (启动上传),并上传您之前从身份提供者系统下载的身份提供者元数据文件。

    Talend 提供的 jar 文件位于 <TomcatPath>/webapps/org.talend.administrator/idp/plugins 目录中。

    如果需要,可以重写身份验证代码。

    Identity Provider System (身份提供者系统) 字段会根据您的身份提供者系统自动更改。

  6. 单击 Identity Provider Configuration (身份提供者配置) 并填写所需信息。
    PingFederate
    • PingFederate SSO URL: https://win-350n8gtg2af:9031/idp/startSSO.ping?PartnerSpld=TAC701
    • Basic Adapter Instance ID: (基本适配器实例 ID:) BasicAdapter
    Okta
    • Okta Organization URL: (Okta 组织 URL:) https://dev-515956.oktapreview.com
    • Okta Embedded Url: (Okta 嵌入式 URL:) https://dev-515956.oktapreview.com/home/ talenddev515956_talendadministrationcenter_1/0oacvlcac5j52hFhP0h7/ alncvlmpk1VXbYAGu0h7

    AD FS 2

    • Adfs SSO Url: https://<host>/adfs/ls
    • Adfs Basic Auth Path: (Adfs 基本身份验证路径:) auth/basic
    • Adfs SP Entity Id: (Adfs SP 实体 ID:) https://<host>:<port>/org.talend.administrator/ssologin
    AD FS 3
    • Adfs 3 SP Entity Id: (Adfs 3 SP 实体 ID:) https://<host>:<port>/org.talend.administrator/ssologin
    • Adfs 2 SSO Url: https://<host>/adfs/ls
  7. Use Role Mapping (使用角色映射) 字段设置为 true,以映射身份提供者系统中定义的应用程序工程类型和用户角色。
    在身份提供者端定义工程类型/角色以后,您将无法从 Talend Administration Center 中编辑它们。
  8. 单击 Mapping Configuration (映射配置) 并用之前在身份提供者系统中设置的对应 SAML 特性来填写角色/工程类型字段。
    工程类型例子:
    • MDM = MDM
    • DI = DI
    • DM = DM
    • NPA = NPA

    角色例子:

    • Talend Administration Center 角色
      • Administrator (管理员) = tac_admin
      • Operation Manager (操作管理员) = tac_om

      设置 Talend Administration Center 角色是必需的。

    • Talend Data Preparation 角色
      • Administrator (管理员) = dp_admin
      • Data Preparator (数据准备员) = dp_dp
    • Talend Data Stewardship 角色
      • Data Steward (数据专员) = tds_ds

    身份提供者中设置的工程类型和角色将改写 Talend Administration Center 中设置的角色。

    身份提供者中设置的工程类型和角色在用户登录时改写 Talend Administration Center 中设置的角色。

    如果您的组织没有接受 SAML 令牌中的自定义特性,则:

    1. 在向导中选择 Show Advanced Configuration (显示高级配置),在 Path to Value (路径到值) 中,输入到目标 SAML 值的 XPath 表达式,以映射到对应的 Talend Administration Center 对象 (Project Types [工程类型]Roles [角色]Email [电子邮件]First Name [名字]Last Name [姓氏])。

      例子:/saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()

    2. Use Role Mapping (使用角色映射) 设置为 false

      在此情况下,您无法手动创建用户,但是可以在 Talend Administration Center 中编辑用户类型和用户角色。

      当用户第一次登录时,他们的类型为 No Project Access (无工程访问权限)

    默认登录超时设为 120 秒,可通过将具有所需超时的 sso.config.clientLoginTimeout 参数添加到 <ApplicationPath>/WEB-INF/classes/configuration.properties 文件进行更改。

结果

您可以通过身份提供者登录 Talend Administration Center 了。