Address Manager SSO 组向 SSO 集成中的用户分配授权。在创建 SSO 组时,可以向该组分配默认访问权限(查看、更改、添加或完全访问权限)和管理员权限。
重要:
- BlueCat 建议创建至少一个本地管理员组,包括至少一个本地管理用户担任 SSO 管理员。这是 SSO 的建议最佳实践,因为 SSO 管理员可以登录到 Address Manager 处理 IdP 的任何连接问题或 DDI 操作的重要问题。
- SSO 管理员需要:
- GUI 和 API 访问
- 本地认证
- 在 Address Manager 中创建 SSO 组之前,请确保您的 IdP 中存在组成员身份声明。 这样即可将访问权限映射到首先使用 SSO 凭据登录到 Address Manager 的用户。有关更多信息,请联系您的 IdP。
- 您需要至少一个 SSO 组才能启用 SSO。
新 SSO 组与 IdP 中包含用户访问权限的组成员身份声明相匹配。在用户使用 SSO 凭据登录后,会根据组成员身份声明将该用户自动添加到 SSO 组中的 SSO 用户列表中。 如果要在执行 SSO Address Manager 的新安装后设置 SSO,则必须创建 SSO 组以启用 SSO。
如果希望使用 LDAP 或 TACACS+ 作为外部验证器,请参考以下内容:
>