Настройка SAML SSO

Enterprise plan feature

SAML SSO is available in the Enterprise plan. To upgrade, visit the Plans page in the cloud console.

ClickHouse Cloud поддерживает однократный вход (SSO) через язык разметки безопасных утверждений (SAML). Это позволяет вам безопасно входить в вашу организацию ClickHouse Cloud, аутентифицируясь с помощью вашего провайдера идентификации (IdP).

В настоящее время мы поддерживаем SSO, инициируемый провайдером услуг, несколько организаций с отдельными подключениями и настройку по мере необходимости. Мы еще не поддерживаем систему управления идентификацией между доменами (SCIM) или маппинг атрибутов.

Прежде чем начать

Вам потребуются права администратора в вашем IdP и роль Admin в вашей организации ClickHouse Cloud. После настройки подключения в вашем IdP свяжитесь с нами с информацией, запрашиваемой в приведенной ниже процедуре, чтобы завершить процесс.

Мы рекомендуем настроить непосредственную ссылку на вашу организацию в дополнение к вашему SAML подключению, чтобы упростить процесс входа. Каждый IdP обрабатывает это по-разному. Читайте далее, чтобы узнать, как сделать это для вашего IdP.

Как настроить ваш IdP

Шаги

Получите ваш Идентификатор организации

Все настройки требуют ваш Идентификатор организации. Чтобы получить ваш Идентификатор организации:

1. Войдите в вашу ClickHouse Cloud организацию.

   

2. В нижнем левом углу щелкните на имя вашей организации в разделе Organization.

3. В всплывающем меню выберите Organization details.

4. Запишите ваш Идентификатор организации для использования ниже.

Настройте вашу SAML интеграцию

ClickHouse использует SAML соединения, инициируемые провайдером услуг. Это означает, что вы можете войти через https://console.clickhouse.cloud или через непосрeдственную ссылку. Мы в настоящее время не поддерживаем соединения, инициируемые провайдером идентификации. Основные конфигурации SAML включают следующее:

• URL SSO или URL ACS: https://auth.clickhouse.cloud/login/callback?connection={organizationid}

• URI аудитории или Идентификатор сущности: urn:auth0:ch-production:{organizationid}

• Имя пользователя приложения: email

• Маппинг атрибутов: email = user.email

• Непосредственная ссылка для доступа к вашей организации: https://console.clickhouse.cloud/?connection={organizationid}

Для конкретных шагов конфигурации обратитесь к вашему провайдеру идентификации ниже.

Получите вашу информацию о подключении

Получите ваш URL SSO провайдера идентификации и сертификат x.509. Обратитесь к вашему провайдеру идентификации ниже для получения инструкций о том, как получить эту информацию.

Подайте заявку на поддержку

1. Вернитесь в консоль ClickHouse Cloud.

2. Выберите Help слева, затем подпункт Support.

3. Нажмите New case.

4. Введите тему "Настройка SAML SSO".

5. В описании вставьте любые ссылки, собранные из вышеуказанных инструкций, и прикрепите сертификат к тикету.

6. Также пожалуйста, сообщите нам, какие домены должны быть разрешены для этого подключения (например, domain.com, domain.ai и т.д.).

7. Создайте новый случай.

8. Мы завершим настройку в ClickHouse Cloud и сообщим вам, когда она будет готова для тестирования.

Завершите настройку

1. Назначьте доступ пользователям в вашем провайдере идентификации.

2. Войдите в ClickHouse через https://console.clickhouse.cloud ИЛИ по непосрeдственной ссылке, которую вы настроили в 'Настройте вашу SAML интеграцию' выше. Пользователям изначально назначается роль 'Developer', которая имеет доступ только для чтения к организации.

3. Выйдите из организации ClickHouse.

4. Войдите с помощью вашего первоначального метода аутентификации, чтобы назначить роль Admin вашей новой SSO учетной записи.

• Для учетных записей с электронной почтой + паролем используйте https://console.clickhouse.cloud/?with=email.
• Для социальных входов, пожалуйста, нажмите соответствующую кнопку (Continue with Google или Continue with Microsoft)

5. Выйдите с помощью вашего первоначального метода аутентификации и войдите снова через https://console.clickhouse.cloud ИЛИ по непосрeдственной ссылке, которую вы настроили в 'Настройте вашу SAML интеграцию' выше.

6. Удалите любых пользователей, не использующих SAML, чтобы обеспечить SAML для организации. В дальнейшем пользователи назначаются через вашего провайдера идентификации.

Настроить Okta SAML

Вам потребуется настроить две интеграции приложений в Okta для каждой организации ClickHouse: одно SAML приложение и одну закладку для вашей непосрeдственной ссылки.

1. Создайте группу для управления доступом

1. Войдите в вашу учетную запись Okta как Administrator.

2. Выберите Groups слева.

3. Нажмите Add group.

4. Введите имя и описание для группы. Эта группа будет использоваться для поддержания согласованности пользователей между SAML приложением и его связанной закладкой.

5. Нажмите Save.

6. Щелкните по имени группы, которую вы создали.

7. Нажмите Assign people, чтобы назначить пользователей, которым вы хотите предоставить доступ к этой организации ClickHouse.

2. Создайте закладку приложения, чтобы пользователи могли бесшовно входить

1. Выберите Applications слева, затем выберите подзаголовок Applications.

2. Нажмите Browse App Catalog.

3. Найдите и выберите Bookmark App.

4. Нажмите Add integration.

5. Выберите название для приложения.

6. Введите URL как https://console.clickhouse.cloud/?connection={organizationid}

7. Перейдите на вкладку Assignments и добавьте группу, которую вы создали выше.

3. Создайте SAML приложение для включения соединения

1. Выберите Applications слева, затем выберите подзаголовок Applications.

2. Нажмите Create App Integration.

3. Выберите SAML 2.0 и нажмите Далее.

4. Введите имя для вашего приложения и установите флажок рядом с Do not display application icon to users, затем нажмите Далее.

5. Используйте следующие значения для заполнения экрана настроек SAML.

   Поле	Значение
   URL единого входа	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URI аудитории (Идентификатор сущности)	urn:auth0:ch-production:{organizationid}
   URL состояния переноса по умолчанию	Оставить пустым
   Формат имени ID	Не указан
   Имя пользователя приложения	Email
   Обновить имя пользователя приложения на	Создать и обновить

6. Введите следующее Утверждение атрибута.

   Имя	Формат имени	Значение
   email	Basic	user.email

7. Нажмите Далее.

8. Введите запрашиваемую информацию на экране Обратной связи и нажмите Завершить.

9. Перейдите на вкладку Assignments и добавьте группу, которую вы создали выше.

10. На вкладке Sign On для вашего нового приложения нажмите кнопку View SAML setup instructions.

    

11. Соберите эти три элемента и обратитесь к Подайте заявку на поддержку выше, чтобы завершить процесс.

• URL единого входа провайдера идентификации
• Выдаватель провайдера идентификации
• Сертификат X.509

Настроить Google SAML

Вам потребуется настроить одно SAML приложение в Google для каждой организации и предоставить пользователям непосрeдственную ссылку (https://console.clickhouse.cloud/?connection={organizationId}) для добавления в закладки, если используется многооперационное SSO.

Создайте веб-приложение Google

1. Перейдите в консоль администратора Google (admin.google.com).

2. Нажмите Apps, затем Web and mobile apps слева.

3. Нажмите Add app в верхнем меню, затем выберите Add custom SAML app.

4. Введите имя для приложения и нажмите Continue.

5. Соберите эти два элемента и обратитесь к Подайте заявку на поддержку выше, чтобы отправить информацию нам. ПРИМЕЧАНИЕ: Если вы завершите настройку до копирования этих данных, нажмите DOWNLOAD METADATA на главном экране приложения, чтобы получить сертификат X.509.

• URL SSO
• Сертификат X.509

7. Введите URL ACS и Идентификатор сущности ниже.

   Поле	Значение
   ACS URL	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   Идентификатор сущности	urn:auth0:ch-production:{organizationid}

8. Установите флажок для Signed response.

9. Выберите EMAIL для формата имени ID и оставьте имя ID как Basic Inforamtion > Primary email.

10. Нажмите Continue.

11. Введите следующий Маппинг атрибутов:

Поле	Значение
Основная информация	Первичный электронный адрес
Атрибуты приложения	email

13. Нажмите Finish.

14. Чтобы включить приложение, нажмите OFF для всех и измените настройку на ON для всех. Доступ также может быть ограничен для групп или организационных единиц, выбрав параметры на левой стороне экрана.

Настроить Azure (Microsoft) SAML

Azure (Microsoft) SAML также может называться Azure Active Directory (AD) или Microsoft Entra.

Создайте корпоративное приложение Azure

Вам потребуется настроить одну интеграцию приложения с отдельным URL для входа для каждой организации.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите в раздел Applications > Enterprise приложения слева.

3. Нажмите New application в верхнем меню.

4. Нажмите Create your own application в верхнем меню.

5. Вводите название и выберите Integrate any other application you don't find in the gallery (Non-gallery), затем нажмите Create.

   

6. Нажмите Users and groups слева и назначьте пользователей.

7. Нажмите Single sign-on слева.

8. Нажмите SAML.

9. Используйте следующие настройки для заполнения экрана Основной конфигурации SAML.

   Поле	Значение
   Идентификатор (Entity ID)	urn:auth0:ch-production:{organizationid}
   URL ответа (Assertion Consumer Service URL)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL для входа	https://console.clickhouse.cloud/?connection={organizationid}
   Состояние релей	Пустое
   URL выхода	Пустое

10. Добавьте (A) или обновите (U) следующее в разделе Атрибуты и Требования:

    Имя требования	Формат	Исходный атрибут
    (U) Уникальный идентификатор пользователя (Имя ID)	Электронный адрес	user.mail
    (A) email	Basic	user.mail
    (U) /identity/claims/name	Пропущено	user.mail

    

11. Соберите эти два предмета и обратитесь к Подайте заявку на поддержку выше, чтобы завершить процесс:

• URL для входа
• Сертификат (Base64)

Настроить Duo SAML

Создайте общий SAML сервисный провайдер для Duo

1. Следуйте инструкциям по Duo Single Sign-On для Общих SAML Сервисных Провайдеров.

2. Используйте следующие атрибуты маппинга Bridge:

   Атрибут Bridge	Атрибут ClickHouse
   Электронный адрес	email

3. Используйте следующие значения для обновления вашего облачного приложения в Duo:

   Поле	Значение
   Идентификатор	urn:auth0:ch-production:{organizationid}
   URL сервисного провайдера (ACS)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL для входа сервисного провайдера	https://console.clickhouse.cloud/?connection={organizationid}

4. Соберите эти два предмета и обратитесь к Подайте заявку на поддержку выше, чтобы завершить процесс:

   • URL единого входа
   • Сертификат

Как это работает

SSO, инициируемый провайдером услуг

Мы используем только SSO, инициируемый провайдером услуг. Это означает, что пользователи переходят на https://console.clickhouse.cloud и вводят свой адрес электронной почты, чтобы быть перенаправленными к IdP для аутентификации. Пользователи, которые уже аутентифицированы через ваш IdP, могут использовать непосрeдственную ссылку для автоматического входа в вашу организацию без ввода своего адреса электронной почты на странице входа.

Назначение ролей пользователей

Пользователи появятся в вашей консоли ClickHouse Cloud после того, как они будут назначены вашему IdP приложению и войдут в систему в первый раз. По крайней мере, одному пользователю SSO должна быть назначена роль Admin в вашей организации. Используйте социальный вход или https://console.clickhouse.cloud/?with=email, чтобы войти в систему с вашим первоначальным методом аутентификации, чтобы обновить вашу SSO роль.

Удаление пользователей, не использующих SSO

После того, как вы настроите пользователей SSO и назначите как минимум одного пользователя роль Admin, администратор сможет удалить пользователей, которые используют другие методы (например, социальную аутентификацию или идентификатор пользователя + пароль). Аутентификация Google продолжит работать после настройки SSO. Пользователи, использующие идентификатор + пароль, будут автоматически перенаправлены на SSO на основе их домена электронной почты, если только пользователи не используют https://console.clickhouse.cloud/?with=email.

Управление пользователями

ClickHouse Cloud в настоящее время реализует SAML для SSO. Мы еще не реализовали SCIM для управления пользователями. Это означает, что пользователи SSO должны быть назначены приложению в вашем IdP, чтобы получить доступ к вашей организации ClickHouse Cloud. Пользователи должны войти в ClickHouse Cloud хотя бы один раз, чтобы появиться в области Пользователи в организации. Когда пользователи удаляются в вашем IdP, они не смогут войти в ClickHouse Cloud через SSO. Тем не менее, пользователь SSO все еще будет отображаться в вашей организации, пока администратор вручную не удалит пользователя.

Многоорганизационное SSO

ClickHouse Cloud поддерживает многоорганизационное SSO, предоставляя отдельное подключение для каждой организации. Используйте непосрeдственную ссылку (https://console.clickhouse.cloud/?connection={organizationid}), чтобы войти в каждую соответствующую организацию. Обязательно выходите из одной организации перед входом в другую.

Дополнительная информация

Безопасность является нашим главным приоритетом, когда дело доходит до аутентификации. По этой причине мы приняли несколько решений при реализации SSO, о которых нам нужно, чтобы вы знали.

• Мы обрабатываем только потоки аутентификации, инициируемые провайдером услуг. Пользователи должны перейти на https://console.clickhouse.cloud и ввести адрес электронной почты, чтобы быть перенаправленными к вашему провайдеру идентификации. Инструкции по добавлению закладки приложения или ярлыка предоставляются для вашего удобства, чтобы ваши пользователи не забывали URL.

• Все пользователи, назначенные вашему приложению через ваш IdP, должны иметь один и тот же домен электронной почты. Если у вас есть продавцы, подрядчики или консультанты, которым вы хотите предоставить доступ к вашей учетной записи ClickHouse, они должны иметь адрес электронной почты с тем же доменом (например, [email protected]), что и ваши сотрудники.

• Мы не автоматически связываем учетные записи SSO и не SSO. Вы можете видеть несколько учетных записей для ваших пользователей в вашем списке пользователей ClickHouse, даже если они используют один и тот же адрес электронной почты.