Dotcom 监视器支持使用 SAML 2.0 进行 SSO(单点登录)登录。 SAML 提供在客户端的身份提供程序和 Dotcom 监视器服务之间传输身份验证数据。 所有用户登录信息都存储在身份提供程序端,而不是由 Dotcom 监视器存储,这保证了高级别的安全性和更好的用户体验。

在系统中设置权限组后,Dotcom 监视器会将这些组映射到我们的 用户角色 ,并相应地授予对 Dotcom 监视器系统的访问权限。

在本文中,我们将提供使用 Active Directory FS (ADFS) 和 AZURE Active Directory (Azure AD) 作为标识提供者启用 SSO 所需的步骤。 此外,还提供了 OKTA SAML 集成的分步指南。

通常,建议在活动目录内设置多个组中权限级别不同的 Dotcom 监视器用户。 但是,如果用户属于 Dotcom-Monitor 中的两个或两个以上的权限级别,则最低权限级别将优先于权限较高的级别。 例如,如果用户在 Dotcom-Monitor 平台中同时分配了查看器(仅限阅读)和电源用户角色,则将在 SSO 登录期间应用查看器角色权限。

  • 具有活动目录FS的SSO

  • 带AZURE活动目录的 SSO

  • 与 OKTA 的 SSO

为部门配置 SSO

如果您为 Dotcom 监视器帐户创建了部门,则可以将 SSO 用户配置为登录到该帐户。

要为部门启用 SSO,在 AD 中为 Dotcom-Monitor 目的保留的组或角色的名称中添加部门名称作为后缀。 使用双连字符作为分隔符:

<AD Group Name>--<Department Name>

若要使用 Dotcom 监视器设置 SSO,请使用以下名称在目录服务中配置 SSO 角色:

AD 组名称 (SSO 角色) 网络监视器中的用户角色
网络Monitor_Administrators 管理
互联网Monitor_Users 用户
互联网Monitor_Accounting_Users Accounting
互联网Monitor_ReadOnly_Users 观众
网络Monitor_Power_Users 超级用户
网络通信Monitor_Operators 算子

例如,若要允许用户使用 高级用户 角色的权限登录到“AlphaDep”部门,请将以下后缀添加到 Dotcom Monitor_Power_Users AD 组:

«Dotcom-Monitor_Power_Users--AlphaDep»

要更改 ADFS 组名,请右键单击组并选择 重命名。 重命名后,请更改弹出框中的”2000 年前窗口”名称或“属性 > 通用 > 组名称”(Windows 2000 前)。

您还可以使用相同的格式逐个添加多个部门的名称。 例如:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

要允许用户登录到 root 帐户,请指定不带部门后缀的相关 AD 组,如上所述:

«Dotcom-Monitor_ReadOnly_Users»

如果用户包含在多个[Dotcom-Monitor_] AD 组中,并配置了 SSO,则将启用登录到所有相应的部门(如果部门存在于 Dotcom-Monitor 帐户中)。

另请参阅: 使用 SSO 登录