只有在其安全配置文件中拥有 SSO 设置 > 读取和 SSO 设置 > 编辑权限的域管理员才能查看和配置域的 SSO 设置。SSO 启用和配置适用于多 Vault 域中的所有 Vault。在单点登录基础知识中了解有关 Vault 的 SSO 选项的更多信息。
要配置单点登录,您必须:
- 创建 SSO 配置文件,SAML 或 OAuth2.0 / OIDC。
- 使用单点登录身份验证类型创建 SSO 安全策略。
- 配置用户以使用 SSO。
创建 SSO 安全策略
要完成 SSO 配置,您必须应用允许用户帐户使用 SSO 的安全策略。您可以通过创建新的安全策略或更改现有策略的设置来执行此操作。如果您创建新的安全策略,则必须将新策略单独应用于每个用户帐户。如果您更改现有策略,则只有当现有策略已在使用中时才能绕过此步骤,但如果您的 SSO 配置使用联合 ID 而不是 Vault 用户名作为用户 ID 类型,则必须为每个用户输入联合 ID。
要创建 SSO 安全策略,请在安全策略的设置页面中将身份验证类型设置为单点登录。然后,您最多可以分配一个 SAML 单点登录配置文件、一个 SAML 电子签名配置文件和一个 OAuth 2.0/OpenID Connect 配置文件。
请参阅配置 SAML 配置文件,了解有关 SAML 配置文件类型的更多信息。
配置用户以使用 SSO
配置新用户时,您可以通过将他们分配给 SSO 安全策略来将他们设置为使用 SSO。如果您要使用联合 ID 的用户 ID 类型,则必须设置用户配置文件中的联合 ID 值。