Konfigurowanie uwierzytelniania logowania

Integracja provisioningu SCIM z Okta jako IdP

Dodawanie integracji SCIM (System for Cross-domain Identity Management):

1. W Okta Admin Console wybierz kartę General i ustaw SCIM jako metodę provisioningu.

   

2. Wybierz kartę Provisioning i kliknij przycisk Edit.

   

3. W trybie edycji ustawień wybierz wszystkie akcje provisioningu (opcje Import.. i Push..) oraz HTTP Header jako tryb Authentication.

   

4. Skopiuj () wpis Base URL z sekcji Provisioning na stronie Company Dashboard Authentication i wklej go do pola Okta SCIM Connector base URL.

   Skopiuj () wpis API Token z sekcji Provisioning na stronie Company Dashboard Authentication i wklej go do pola Okta Authorization (w obszarze HTTP HEADER).

   

5. Podaj userName jako Okta Unique identifier field for users.

   

6. Kliknij przycisk Test Connector Configuration (patrz wyżej) i upewnij się, że połączenie działa. Jeśli test konfiguracji zakończy się powodzeniem, zamknij okno Test, a następnie zapisz konfigurację ().

   

7. Wybierz To App w drzewie nawigacyjnym po lewej stronie, a następnie opcję Edit.

   Włącz opcje Create Users, Update User Attributes i Deactivate Users, a następnie kliknij Save.

   

Provisioning i deprovisioning użytkowników oraz grup:

1. Wybierz kartę Push Groups, a następnie kliknij przycisk Refresh App Groups.

   

2. Wybierz opcję strony Directory » Groups z menu głównego.

   

   W sekcji Groups powinny być widoczne zarówno aplikacja Groups, jak i Workspaces jako wpisy grup.

   

3. Utwórz „natywne” grupy Okta o tej samej nazwie co grupy aplikacji/obszary robocze — w tym przykładzie zaimportowane grupy Administrators i Workspace.

   

4. Wybierz utworzoną grupę Okta, a następnie kliknij przycisk Manage Apps. W oknie Assign Applications to <group name> przypisz aplikację SCIM do grupy i po zakończeniu kliknij .

   

5. Wróć do strony Groups i wybierz kartę Push Groups. Wybierz Find groups by name option z menu przycisku Push Groups.

   

6. Wprowadź nazwę grupy (tutaj Group Administrators), a następnie wybierz opcję Link Group, aby połączyć ją z grupą aplikacji. Zapisz konfigurację tego połączenia ().

   

Zarządzanie użytkownikami i grupami

Powinna teraz być możliwa zmiana składu istniejących grup aplikacji, czyli dodawanie do nich członków lub usuwanie z nich członków.

1. Utwórz nowego użytkownika Okta (Directory » People, a następnie wybierz Add Person). Upewnij się, że użytkownik ma unikalny adres e-mail, który nie istnieje w AltiumLive.

2. Dodaj nowego użytkownika do grupy Okta przypisanej do aplikacji SCIM (Directory » Groups, wybierz grupę, a następnie użyj Assign People).

3. Sprawdź, czy użytkownik pojawia się w Company Dashboard.

Aby utworzyć nową grupę użytkowników za pośrednictwem aplikacji SCIM, utwórz nową grupę Okta na stronie Groups (), a następnie na karcie Push Groups znajdź nazwę nowej grupy i wybierz opcję Create Group (zamiast „Link Group”).

Skonfigurowana aplikacja SCIM powinna umożliwiać:

• Zmienianie imienia / nazwiska oraz adresu e-mail użytkownika.

• Zmienianie członkostwa w grupie.

• Zmienianie nazwy grupy.

• Tworzenie grupy.

• Usuwanie grupy – odłącz grupę w sekcji Push Groups, używając opcji usunięcia z aplikacji.

• Aktywowanie lub dezaktywowanie użytkownika – aktywowany użytkownik otrzyma wiadomość e-mail aktywacyjną.

Workspaces są podobne do grup użytkowników w Okta, ale obsługują tylko zarządzanie członkostwem. Nie można utworzyć nowego Workspace ani zmienić nazwy istniejącego.

Po dodaniu lub usunięciu użytkownika z grupy Workspace możesz sprawdzić wynik w interfejsie Workspace Altium 365.

• Nowy użytkownik SCIM powinien mieć możliwość logowania przy użyciu SSO

• Nowy użytkownik SCIM powinien zostać automatycznie zaproszony do Workspace.

• Zaproszenie e-mail nie zostanie wysłane do użytkownika.

Integracja z Microsoft Entra ID

Aplikacja SAML:

1. Zaloguj się do centrum administracyjnego Microsoft Entra.

2. Wybierz Identity, a następnie opcję Enterprise applications.

   

3. Utwórz własną aplikację.

   

4. Wybierz Users and groups, a następnie Add user/group.

   

   

   

    

5. Wybierz Single sign-on, Step 1, a następnie Edit.

   

   

    

6. Skopiuj () wpisy Entity ID i Single Sign On URL z sekcji Altium Sign-On Settings na stronie Authentication Company Dashboard. Wklej skopiowane ciągi do pól Entity ID i Assertion Consumer Service URL w obszarze konfiguracji SAML aplikacji Microsoft Entra. Upewnij się, że pola wyboru Default są zaznaczone dla tych pól, a następnie zapisz konfigurację.

   

7. Pobierz utworzony plik Federation Metadata XML.

   

8. Prześlij plik Federation Metadata XML na stronę Authentication Company Dashboard (do obszaru 2. SAML Identity Provider configuration sekcji Altium Sign-On Settings) a następnie przetestuj połączenie integracji SAML.

Aprowizacja:

1. Na ekranie zarządzania aplikacją Microsoft Entra wybierz Provisioning w lewym panelu, a następnie przycisk Get started.

2. Ustaw Provision MODE na Automatic.

3. Skopiuj () wpisy Base URL i API Token z sekcji Provisioning na stronie Company Dashboard Authentication i wklej je odpowiednio do pól Tenant URL i Secret Token.

   

4. Kliknij przycisk Microsoft Entra Provisioning Test Connection, a jeśli poświadczenia zostaną pomyślnie autoryzowane, Save konfigurację.

   

5. W sekcji Mappings znajdują się dwa wybieralne zestawy mapowań atrybutów – jeden dla obiektów Group i jeden dla obiektów User.

   

6. Wybierz każde mapowanie, aby przejrzeć atrybuty synchronizowane z Microsoft Entra ID do Twojej aplikacji. Atrybuty wybrane jako Matching properties są używane do dopasowywania użytkowników i grup w Twojej aplikacji podczas operacji aktualizacji. Wybierz Save, aby zatwierdzić wszelkie zmiany.

   

   Opcjonalnie możesz wyłączyć synchronizację obiektów grup poprzez wyłączenie mapowania Groups.

7. W sekcji Settings pole Scope określa, którzy użytkownicy i grupy są synchronizowani. Wybierz Sync only assigned users and groups (zalecane), aby synchronizować tylko użytkowników i grupy przypisane na stronie Users and groups.

   

8. Po zakończeniu konfiguracji ustaw Provisioning Status na On.

   

9. Wybierz Save, aby uruchomić usługę aprowizacji Microsoft Entra.

Integracja z JumpCloud jako dostawcą tożsamości

1. W interfejsie JumpCloud wybierz SSO z drzewa nawigacji, a następnie przycisk Add New Application na stronie SSO.

   

2. Wprowadź „saml” w polu Search okna konfiguracji, aby odszukać i zainstalować Custom SAML App.

   

3. Nazwij swoją instancję Custom SAML App – w tym przykładzie etykieta to „Altium”.

   

4. Przełącz się na kartę SSO w interfejsie konfiguracji JumpCloud. Skopiuj () wpisy Entity ID i Single Sign On URL z sekcji Altium Sign-On Settings na stronie Company Dashboard Authentication i wklej je odpowiednio do pól SP Entity ID i Default URL.

   

5. Wprowadź punkt końcowy JumpCloud IDP URL i włącz opcję Declare Redirect Endpoint.

   

6. Przełącz się na kartę Identity Management w interfejsie JumpCloud. Skopiuj () wpisy Base URL i API Token z sekcji Provisioning na stronie Company Dashboard Authentication i wklej je odpowiednio do pól Base URL i Token Key. Wprowadź również odpowiedni testowy adres e-mail.

   

7. Wykonaj Test Connection, co spowoduje wyświetlenie komunikatu potwierdzającego w prawym górnym rogu strony (jak pokazano poniżej).

   

8. Wyłącz (odznacz) opcję Group Management, a następnie Activate konfigurację.

   

   Uwaga: jeśli u góry strony otrzymasz błąd połączenia, taki jak „There was a problem activating Identity Management”, lub u dołu strony „Test filter user: unable to get or create user from service”, spróbuj wprowadzić inny testowy adres e-mail, a następnie ponownie wybierz Activate.

9. Po powrocie do karty SSO w interfejsie JumpCloud użyj opcji Export Metadata, aby pobrać wynikowy plik SAML metadata XML.

   

10. Na stronie Authentication Company Dashboard zaimportuj pobrany plik metadata XML, a następnie uruchom test integracji przyciskiem Test Sign On. Następnie powinien zostać wyświetlony wynik pomyślnego testu integracji. Po potwierdzeniu połączenia możesz włączyć opcję Altium Sign-On Settings, a następnie opcję SSO w sekcji Authentication methods.

Uwierzytelnianie SSO SAML z Microsoft Administrative Domain Federated Services (AD FS)

Wykonaj poniższe kroki, aby skonfigurować logowanie do organizacji Altium 365 z użyciem instancji AD FS do uwierzytelniania SSO.

Wymagania wstępne

• Dostęp administracyjny do Company Account organizacji w Altium 365.

• Dostęp administracyjny do instancji AD FS.

Konfigurowanie AD FS

1. Otwórz aplikację AD FS Management (zwykle Start → Windows Administrative Tools → AD FS Management).

2. Przejdź do Relying Party Trusts i kliknij opcję Add Relying Party Trust... (1).

3. W wyskakującym oknie upewnij się, że wybrano Claims aware (2), i kliknij Start (3).

   

4. W kroku Select Data Source wybierz Enter data about the relying party manually (1) i kliknij Next (2).

   

5. Podaj nazwę wyświetlaną dla relacji zaufania. W tym przykładzie jako nazwy wyświetlanej użyto AltiumLive.

   

6. W zależności od konfiguracji zabezpieczeń możesz określić opcjonalny certyfikat szyfrowania tokenu. Na potrzeby tego przewodnika nie będziemy go używać.

   

7. W kroku Configure URL upewnij się, że wybrano opcję Enable support for the SAML 2.0 WebSSO protocol (1), i wprowadź https://identity.live.altium.com/AssertionConsumerService do pola Relying party SAML 2.0 SSO service URL: (2). Kliknij Next (3).

   

8. W kroku Configure Identifiers podaj identyfikator tej relacji zaufania w polu wejściowym (1). Identyfikator należy pobrać z wpisu Entity ID znajdującego się w obszarze SAML Single Sign-On strony Dashboard Authentication. Upewnij się, że klikniesz przycisk Add (2).

   

   Wynik powinien wyglądać następująco. Kliknij Next.

   

9. W zależności od konfiguracji zabezpieczeń w następnym kroku możesz wybrać opcjonalne zasady kontroli dostępu. W tym przykładzie nie będziemy wybierać żadnych dodatkowych zasad i przejdziemy dalej, używając opcji Permit everyone.

   

10. Przejrzyj konfigurację i wybierz Next.

    

11. Nie wszystkie ustawienia są dostępne podczas konfigurowania relacji zaufania. Aby umożliwić użycie SHA-1 jako bezpiecznego algorytmu skrótu, kliknij prawym przyciskiem myszy nazwę właśnie dodanego Relying Party Trust i wybierz Properties.

    

12. W oknie właściwości wybierz kartę Advanced (1) i ustaw SHA-1 jako bezpieczny algorytm skrótu (2). Kliknij OK, aby zapisać zmiany.

    

13. Po powrocie do okna AD FS Management wybierz dodaną Relaying Party Trust i wybierz opcję Edic Claim Issuance Policy...

    

14. W oknie Edit Claim Issuance Policy wybierz Add Rule...

    

15. W kroku Choose Rule Type kreatora upewnij się, że wybrano Send LDAP Attributes as Claims, a następnie kliknij Next.

    

16. Podaj Claim rule name (1), wybierz Active Directory jako Attribute store (2) i wybierz LDAP Attribute (3) z identyfikatora zawierającego nazwę użytkownika dla konta Altium. Ten atrybut musi być odwzorowany na Name ID w Outgoing Claim Type (3). Kliknij Finish (4).

    

    Important Note: W tym przykładzie odwzorowaliśmy Surname lub Last name, aby zawierały wymaganą wartość. Twoja konfiguracja może się różnić.

    

17. Upewnij się, że zasady wystawiania oświadczeń zostały zapisane, klikając OK.

    

Na tym kończy się konfiguracja AD FS.

Konfigurowanie Altium 365

1. Przejdź do strony Authentication Company Dashboard i prześlij pobrany wcześniej plik FederationMetadata.xml (więcej informacji znajdziesz w sekcji Dashboard SSO Configuration poniżej). Konfiguracja powinna zostać zaimportowana, a wartości X509 Certificate, Identity Provider Issuer i IdP Single Sign-On URL powinny być widoczne. Kliknij przycisk Test Sign On , aby przetestować konfigurację.

2. Na ekranie logowania wprowadź dane uwierzytelniające użytkownika zgodnie z wymaganiami Twojej organizacji i kliknij Sign in.

   

3. Asercja zostanie odesłana do Altium 365. Jeśli na ekranie pojawi się komunikat Test SAML connection was successful!, oznacza to, że konfiguracja została ukończona prawidłowo. Możesz wyświetlić odpowiedź SAML, klikając przycisk See Response . Kliknij Back to Settings , aby wrócić do strony Authentication.

4. Na stronie Authentication włącz opcje Altium Sign-On Settings i SSO .

To kończy konfigurację. Od tego momentu użytkownicy w Twojej organizacji powinni mieć możliwość logowania się do Altium 365 przy użyciu AD FS Twojej organizacji jako dostawcy tożsamości SSO.

Konfiguracja SSO SAML z Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Przejdź do IAM Identity Center i dodaj niestandardową aplikację SAML 2.0 (Add Application).

   

   

2.  Skopiuj () wpisy Entity ID  i Single Sign On URL  z sekcji Altium Sign-On Settings  na stronie Company Dashboard Authentication  i wklej je do ustawień adresu URL metadanych AWS. Potwierdź ustawienia przyciskiem Submit.

   

3. Pobierz plik metadanych z obszaru IAM Identity Center metadata.

   

4. Przejdź do Edit attribute mappings.

   

5. Dodaj ${user:email} i Format jako unspecified.

   

6. Utwórz nowych użytkowników w AWS – nazwy użytkowników powinny mieć format user@domain.com.

   Przypisz aplikację do utworzonych użytkowników lub grupy.

   

7. Opcja Provisioning na stronie Company Dashboard Authentication powinna być wyłączona.

   Obecnie automatyczne wychodzące provisionowanie przez SCIM nie jest obsługiwane przez AWS.

8. Upewnij się, że ci sami użytkownicy istnieją zarówno po stronie Altium, jak i IAM. Nazwy użytkowników powinny być zgodne z formatem user@domain.com.

   

9. Na stronie Company Dashboard Authentication prześlij pobrany wcześniej plik XML (więcej informacji znajdziesz w sekcji Dashboard SSO Configuration poniżej). Kliknij przycisk Test Sign On , aby przetestować konfigurację.

10. Następnie zostaniesz przekierowany na stronę logowania AWS. Wprowadź dane uwierzytelniające użytkownika AWS. Powinieneś zostać przekierowany z powrotem do Dashboard i zobaczyć komunikat Test SAML connection was successful! .

11. Po pomyślnym teście włącz opcje Altium Sign-On Settings i SSO .