Настройка SAML SSO

Enterprise plan feature

SAML SSO is available in the Enterprise plan. To upgrade, visit the Plans page in the cloud console.

ClickHouse Cloud поддерживает единую систему входа (SSO) через язык разметки безопасности (SAML). Это позволяет вам безопасно входить в вашу организацию ClickHouse Cloud, аутентифицировавшись с помощью вашего провайдера удостоверений (IdP).

На данный момент мы поддерживаем SSO, инициируемый провайдером услуг, множество организаций с отдельными соединениями и создание пользователей в режиме реального времени. Мы еще не поддерживаем систему управления идентификацией доменов (SCIM) или сопоставление атрибутов.

Перед началом

Вам потребуются права администратора в вашем IdP и роль Admin в вашей организации ClickHouse Cloud. После настройки соединения в вашем IdP свяжитесь с нами с информацией, запрашиваемой в следующей процедуре, чтобы завершить процесс.

Мы рекомендуем настроить прямую ссылку на вашу организацию в дополнение к вашему SAML-соединению для упрощения процесса входа. Каждый IdP обрабатывает это по-разному. Читайте далее, как это сделать для вашего IdP.

Как настроить ваш IdP

Шаги

Получите идентификатор вашей организации

Для всех настроек требуется идентификатор вашей организации. Чтобы получить идентификатор вашей организации:

1. Войдите в вашу ClickHouse Cloud организацию.

   

2. В левом нижнем углу нажмите на название вашей организации под Организация.

3. В всплывающем меню выберите Детали организации.

4. Запишите ваш Идентификатор организации для дальнейшего использования.

Настройка вашей SAML интеграции

ClickHouse использует SAML-соединения, инициируемые провайдером услуг. Это означает, что вы можете войти через https://console.clickhouse.cloud или через прямую ссылку. В настоящее время мы не поддерживаем соединения, инициируемые провайдером удостоверений. Основные SAML настройки включают в себя следующее:

• URL SSO или URL ACS: https://auth.clickhouse.cloud/login/callback?connection={organizationid}

• URI аудитории или Entity ID: urn:auth0:ch-production:{organizationid}

• Имя пользователя приложения: email

• Сопоставление атрибутов: email = user.email

• Прямая ссылка для доступа к вашей организации: https://console.clickhouse.cloud/?connection={organizationid}

  Для конкретных шагов по настройке обратитесь к вашему конкретному провайдеру удостоверений ниже.

Получите информацию о вашем соединении

Получите ваш SSO URL провайдера удостоверений и сертификат x.509. Посмотрите ниже, как получить эти данные в зависимости от вашего конкретного провайдера удостоверений.

Отправьте запрос в службу поддержки

1. Вернитесь в консоль ClickHouse Cloud.

2. Выберите Помощь слева, затем подменю Поддержка.

3. Нажмите Новый запрос.

4. Введите тему "Настройка SAML SSO".

5. В описании вставьте любые ссылки, собранные из вышеуказанных инструкций, и прикрепите сертификат к заявке.

6. Пожалуйста, также сообщите нам, какие домены должны быть разрешены для этого соединения (например, domain.com, domain.ai и т.д.).

7. Создайте новый запрос.

8. Мы завершите настройку в ClickHouse Cloud и сообщим вам, когда она будет готова для тестирования.

Завершите настройку

1. Назначьте доступ пользователям в вашем провайдере удостоверений.

2. Войдите в ClickHouse через https://console.clickhouse.cloud ИЛИ прямую ссылку, которую вы настроили в разделе 'Настройка вашей SAML интеграции' выше. Пользователи изначально назначаются ролью 'Member', что позволяет им войти в организацию и обновлять личные настройки.

3. Выйдите из организации ClickHouse.

4. Войдите с вашим исходным методом аутентификации, чтобы назначить роль Admin вашей новой учетной записи SSO.

• Для учетных записей с электронной почтой + паролем используйте https://console.clickhouse.cloud/?with=email.
• Для социальных логинов нажмите соответствующую кнопку (Продолжить с Google или Продолжить с Microsoft)

примечание

email в ?with=email выше является буквальным значением параметра, а не заполнительом

5. Выйдите с вашего исходного метода аутентификации и войдите снова через https://console.clickhouse.cloud ИЛИ прямую ссылку, которую вы настроили в разделе 'Настройка вашей SAML интеграции' выше.

6. Удалите любых пользователей, не использующих SAML, чтобы обеспечить использование SAML для организации. В дальнейшем пользователи назначаются через ваш провайдер удостоверений.

Настройка Okta SAML

Вы настроите две интеграции приложений в Okta для каждой организации ClickHouse: одно SAML приложение и одну закладку для вашей прямой ссылки.

1. Создайте группу для управления доступом

1. Войдите в вашу инстанцию Okta как Администратор.

2. Выберите Группы слева.

3. Нажмите Добавить группу.

4. Введите название и описание для группы. Эта группа будет использоваться для поддержания согласованности пользователей между SAML приложением и соответствующей закладкой.

5. Нажмите Сохранить.

6. Нажмите на название созданной вами группы.

7. Нажмите Назначить людей, чтобы назначить пользователей, которым вы хотите предоставить доступ к этой организации ClickHouse.

2. Создайте закладку, чтобы пользователи могли легко войти

1. Выберите Приложения слева, затем выберите подзаголовок Приложения.

2. Нажмите Просмотреть каталог приложений.

3. Найдите и выберите Закладка приложения.

4. Нажмите Добавить интеграцию.

5. Выберите название для приложения.

6. Введите URL как https://console.clickhouse.cloud/?connection={organizationid}

7. Перейдите на вкладку Назначения и добавьте группу, которую вы создали выше.

3. Создайте SAML приложение для подключения

1. Выберите Приложения слева, затем выберите подзаголовок Приложения.

2. Нажмите Создать интеграцию приложения.

3. Выберите SAML 2.0 и нажмите Далее.

4. Введите название для вашего приложения и отметьте поле рядом с Не отображать значок приложения пользователям, затем нажмите Далее.

5. Используйте следующие значения для заполнения экрана настроек SAML.

   Поле	Значение
   URL единого входа	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URI аудитории (SP Entity ID)	urn:auth0:ch-production:{organizationid}
   Значение по умолчанию	Оставить пустым
   Формат имени ID	Не указано
   Имя пользователя приложения	Email
   Обновить имя пользователя приложения на	Создание и обновление

6. Введите следующую Заявку атрибутов.

   Имя	Формат имени	Значение
   email	Basic	user.email

7. Нажмите Далее.

8. Введите запрашиваемую информацию на экране обратной связи и нажмите Завершить.

9. Перейдите на вкладку Назначения и добавьте группу, которую вы создали выше.

10. На вкладке Единый вход для вашего нового приложения нажмите кнопку Посмотреть инструкции по настройке SAML.

    

11. Соберите эти три элемента и перейдите к отправке запроса в службу поддержки выше, чтобы завершить процесс.

• URL единого входа провайдера удостоверений
• Издатель провайдера удостоверений
• Сертификат X.509

Настройка Google SAML

Вы настроите одно SAML приложение в Google для каждой организации и должны предоставить вашим пользователям прямую ссылку (https://console.clickhouse.cloud/?connection={organizationId}) для закладки, если используете multi-org SSO.

Создайте веб-приложение Google

1. Перейдите в консоль администратора Google (admin.google.com).

2. Нажмите Приложения, затем Веб-приложения и мобильные приложения слева.

3. Нажмите Добавить приложение в верхнем меню, затем выберите Добавить настраиваемое SAML приложение.

4. Введите название для приложения и нажмите Продолжить.

5. Соберите эти два элемента и перейдите к отправке запроса в службу поддержки выше, чтобы отправить нам информацию. ПРИМЕЧАНИЕ: если вы завершили настройку, прежде чем скопировать эти данные, нажмите СКАЧАТЬ МЕТАДАННЫЕ на главном экране приложения, чтобы получить сертификат X.509.

• SSO URL
• Сертификат X.509

7. Введите ACS URL и Entity ID ниже.

   Поле	Значение
   ACS URL	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   Entity ID	urn:auth0:ch-production:{organizationid}

8. Отметьте поле Подписанный ответ.

9. Выберите EMAIL для Формата имени ID и оставьте имя ID как Основная информация > Основной адрес электронной почты.

10. Нажмите Продолжить.

11. Введите следующее сопоставление атрибутов:

Поле	Значение
Основная информация	Основной адрес электронной почты
Атрибуты приложения	email

13. Нажмите Завершить.

14. Чтобы активировать приложение, установите для всех значение ВЫКЛ. и измените настройку на ВКЛ. для всех. Доступ также можно ограничить группами или организационными единицами, выбрав опции на левой стороне экрана.

Настройка Azure (Microsoft) SAML

Azure (Microsoft) SAML также может называться Azure Active Directory (AD) или Microsoft Entra.

Создайте корпоративное приложение Azure

Вы настроите одну интеграцию приложения с отдельным URL для входа для каждой организации.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите в Приложения > Корпоративные приложения слева.

3. Нажмите Новое приложение в верхнем меню.

4. Нажмите Создать собственное приложение в верхнем меню.

5. Введите название и выберите Интегрировать любое другое приложение, которого нет в галерее (Не-галерея), затем нажмите Создать.

   

6. Нажмите Пользователи и группы слева и назначьте пользователей.

7. Нажмите Единый вход слева.

8. Нажмите SAML.

9. Используйте следующие настройки для заполнения экрана базовой конфигурации SAML.

   Поле	Значение
   Идентификатор (Entity ID)	urn:auth0:ch-production:{organizationid}
   URL ответа (Assertion Consumer Service URL)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL входа	https://console.clickhouse.cloud/?connection={organizationid}
   Состояние реле	Пусто
   URL выхода	Пусто

10. Добавьте (A) или обновите (U) следующее в разделе Атрибуты и утверждения:

    Название утверждения	Формат	Исходный атрибут
    (U) Уникальный идентификатор пользователя (Name ID)	Адрес электронной почты	user.mail
    (A) email	Basic	user.mail
    (U) /identity/claims/name	Упущено	user.mail

    

11. Соберите эти два элемента и перейдите к отправке запроса в службу поддержки выше, чтобы завершить процесс:

• URL входа
• Сертификат (Base64)

Настройка Duo SAML

Создайте общий SAML провайдер услуг для Duo

1. Следуйте инструкциям для Duo Single Sign-On для Общих SAML Провайдеров Услуг.

2. Используйте следующее сопоставление атрибутов Bridge:

   Атрибут Bridge	Атрибут ClickHouse
   Адрес электронной почты	email

3. Используйте следующие значения для обновления вашего облачного приложения в Duo:

   Поле	Значение
   Entity ID	urn:auth0:ch-production:{organizationid}
   URL службы поддержки (ACS)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL входа провайдера услуг	https://console.clickhouse.cloud/?connection={organizationid}

4. Соберите эти два элемента и перейдите к отправке запроса в службу поддержки выше, чтобы завершить процесс:

   • URL единого входа
   • Сертификат

Как это работает

SSO, инициированный провайдером услуг

Мы используем только SSO, инициированный провайдером услуг. Это означает, что пользователи переходят на https://console.clickhouse.cloud и вводят свой адрес электронной почты, чтобы быть перенаправленными на IdP для аутентификации. Пользователи, уже аутентифицированные через ваш IdP, могут использовать прямую ссылку для автоматического входа в вашу организацию без ввода адреса электронной почты на странице входа.

Назначение ролей пользователям

Пользователи появятся в вашей консоли ClickHouse Cloud после назначения их вашему приложению IdP и первого входа. Как минимум один пользователь SSO должен быть назначен роли Admin в вашей организации, и дополнительные пользователи, которые входят через SSO, будут созданы с ролью "Member", что означает, что по умолчанию они не имеют доступа к каким-либо сервисам и их доступ и роли должны обновляться Администратором.

Используйте социальный логин или https://console.clickhouse.cloud/?with=email, чтобы войти с вашим исходным методом аутентификации и обновить вашу роль SSO.

Удаление пользователей, не использующих SSO

После настройки пользователей SSO и назначения хотя бы одного пользователя на роль Admin администратор может удалить пользователей, использующих другие методы (например, социальную аутентификацию или идентификатор пользователя + пароль). Аутентификация Google продолжит работать после настройки SSO. Пользователи с идентификатором + паролем будут автоматически перенаправлены на SSO на основе их домена электронной почты, если только они не используют https://console.clickhouse.cloud/?with=email.

Управление пользователями

ClickHouse Cloud в настоящее время реализует SAML для SSO. Мы еще не внедрили SCIM для управления пользователями. Это означает, что пользователям SSO необходимо быть назначенными приложению в вашем IdP, чтобы получить доступ к вашей организации ClickHouse Cloud. Пользователи должны войти в ClickHouse Cloud один раз, чтобы появиться в области Пользователи в организации. Когда пользователи удаляются в вашем IdP, они не смогут войти в ClickHouse Cloud через SSO. Однако пользователь SSO будет по-прежнему отображаться в вашей организации, пока администратор вручную не удалит пользователя.

Multi-org SSO

ClickHouse Cloud поддерживает SSO между несколькими организациями, предоставляя отдельное соединение для каждой организации. Используйте прямую ссылку (https://console.clickhouse.cloud/?connection={organizationid}), чтобы войти в каждую соответствующую организацию. Не забудьте выйти из одной организации перед входом в другую.

Дополнительная информация

Безопасность является нашим главным приоритетом в вопросах аутентификации. По этой причине мы приняли ряд решений при реализации SSO, о которых мы хотели бы, чтобы вы знали.

• Мы обрабатываем только аутентификационные потоки, инициируемые провайдером услуг. Пользователи должны перейти на https://console.clickhouse.cloud и ввести адрес электронной почты, чтобы быть перенаправленными к вашему провайдеру удостоверений. Инструкции по добавлению приложения закладки или ярлыка предоставлены для вашего удобства, чтобы ваши пользователи не запоминали URL.

• Все пользователи, назначенные вашему приложению через ваш IdP, должны иметь один и тот же домен электронной почты. Если у вас есть подрядчики, временные работники или консультанты, которым нужен доступ к вашей учетной записи ClickHouse, они должны иметь адрес электронной почты с таким же доменом (например, user@domain.com), как и ваши сотрудники.

• Мы не связываем автоматически учетные записи SSO и не SSO. Вы можете увидеть несколько учетных записей ваших пользователей в списке пользователей ClickHouse, даже если они используют один и тот же адрес электронной почты.