Настройка SAML SSO

Enterprise plan feature

SAML SSO is available in the Enterprise plan. To upgrade, visit the Plans page in the cloud console.

ClickHouse Cloud поддерживает единую авторизацию (SSO) через язык разметки утверждений безопасности (SAML). Это позволяет вам безопасно входить в вашу организацию ClickHouse Cloud, аутентифицируясь через ваш провайдер идентификации (IdP).

В настоящее время мы поддерживаем SSO, инициируемые провайдером услуг, несколько организаций с отдельными подключениям, и своевременное предоставление доступа. Мы пока не поддерживаем систему управления идентичностью через домены (SCIM) или отображение атрибутов.

Прежде чем начать

Вам потребуются права администратора в вашем IdP и роль Admin в вашей организации ClickHouse Cloud. После настройки вашего подключения в рамках вашего IdP свяжитесь с нами с запрашиваемой информацией согласно процедуре ниже, чтобы завершить процесс.

Мы рекомендуем настроить прямую ссылку на вашу организацию в дополнение к вашему SAML-подключению, чтобы упростить процесс входа. Каждый IdP обрабатывает это по-разному. Читайте далее о том, как сделать это для вашего IdP.

Как настроить ваш IdP

Шаги

Получите идентификатор вашей организации

Для всех настроек требуется идентификатор вашей организации. Чтобы получить ваш идентификатор организации:

1. Войдите в вашу ClickHouse Cloud организацию.

   

2. В нижнем левом углу нажмите на имя вашей организации в разделе Организация.

3. В выпадающем меню выберите Детали организации.

4. Запишите ваш идентификатор организации для использования ниже.

Настройте вашу SAML интеграцию

ClickHouse использует SAML-подключения, инициируемые провайдером услуг. Это означает, что вы можете войти через https://console.clickhouse.cloud или через прямую ссылку. В настоящее время мы не поддерживаем подключения, инициируемые провайдером идентификации. Основные настройки SAML включают следующее:

• URL SSO или URL ACS: https://auth.clickhouse.cloud/login/callback?connection={organizationid}

• URI аудитории или идентификатор сущности: urn:auth0:ch-production:{organizationid}

• Имя пользователя приложения: email

• Отображение атрибутов: email = user.email

• Прямая ссылка для доступа к вашей организации: https://console.clickhouse.cloud/?connection={organizationid}

Для получения конкретных шагов настройки обратитесь к вашему провайдеру идентификации ниже.

Получите информацию о вашем подключении

Получите ваш URL SSO провайдера идентификации и сертификат x.509. Обратитесь к вашему провайдеру идентификации ниже за инструкциями о том, как получить эту информацию.

Отправьте запрос на поддержку

1. Вернитесь в консоль ClickHouse Cloud.

2. Выберите Помощь слева, затем подменю Поддержка.

3. Нажмите Новый запрос.

4. Введите тему "Настройка SAML SSO".

5. В описании вставьте любые ссылки, собранные из вышеуказанных инструкций, и прикрепите сертификат к заявке.

6. Также сообщите нам, какие домены должны быть разрешены для этого подключения (например, domain.com, domain.ai и т.д.).

7. Создайте новый запрос.

8. Мы завершим настройку в ClickHouse Cloud и сообщим вам, когда оно будет готово к тестированию.

Завершите настройку

1. Назначьте доступ пользователям внутри вашего провайдера идентификации.

2. Войдите в ClickHouse через https://console.clickhouse.cloud ИЛИ по прямой ссылке, которую вы настроили в разделе 'Настройте вашу SAML интеграцию' выше. Пользователям первоначально присваивается роль 'Member', что позволяет им входить в организацию и обновлять личные настройки.

3. Выйдите из организации ClickHouse.

4. Войдите с вашим первоначальным методом аутентификации, чтобы назначить роль Admin вашей новой SSO-учетной записи.

• Для учетных записей с email + паролем, используйте https://console.clickhouse.cloud/?with=email.
• Для социальных входов нажмите соответствующую кнопку (Продолжить с Google или Продолжить с Microsoft)

5. Выйдите с первоначальным методом аутентификации и войдите снова через https://console.clickhouse.cloud ИЛИ через прямую ссылку, которую вы настроили в разделе 'Настройте вашу SAML интеграцию' выше.

6. Удалите любых пользователей, не использующих SAML, чтобы обеспечить использование SAML для организации. В дальнейшем пользователи назначаются через ваш провайдер идентификации.

Настройка Okta SAML

Вы настроите две интеграции приложений в Okta для каждой организации ClickHouse: одно SAML приложение и одну закладку для хранения вашей прямой ссылки.

1. Создайте группу для управления доступом

1. Войдите в вашу учетную запись Okta как Администратор.

2. Выберите Группы слева.

3. Нажмите Добавить группу.

4. Введите имя и описание для группы. Эта группа будет использоваться для поддержания согласованности пользователей между SAML приложением и связанной с ним закладкой.

5. Нажмите Сохранить.

6. Нажмите на имя созданной группы.

7. Нажмите Назначить людей, чтобы назначить пользователей, которым вы хотите предоставить доступ к этой организации ClickHouse.

2. Создайте закладку приложения, чтобы пользователи могли беспрепятственно входить

1. Выберите Приложения слева, затем выберите подзаголовок Приложения.

2. Нажмите Просмотреть каталог приложений.

3. Найдите и выберите Bookmark App.

4. Нажмите Добавить интеграцию.

5. Выберите метку для приложения.

6. Введите URL как https://console.clickhouse.cloud/?connection={organizationid}

7. Перейдите на вкладку Назначения и добавьте группу, которую вы создали выше.

3. Создайте SAML приложение для включения подключения

1. Выберите Приложения слева, затем выберите подзаголовок Приложения.

2. Нажмите Создать интеграцию приложения.

3. Выберите SAML 2.0 и нажмите Далее.

4. Введите имя вашего приложения и отметьте поле рядом с Не отображать значок приложения для пользователей, затем нажмите Далее.

5. Используйте следующие значения для заполнения экрана настроек SAML.

   Поле	Значение
   URL единой авторизации	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URI аудитории (идентификатор сущности)	urn:auth0:ch-production:{organizationid}
   Значение по умолчанию	Оставить пустым
   Формат имени ID	Не указано
   Имя пользователя приложения	Email
   Обновить имя пользователя приложения на	Создать и обновить

6. Введите следующее утверждение атрибута.

   Имя	Формат имени	Значение
   email	Основной	user.email

7. Нажмите Далее.

8. Введите запрашиваемую информацию на экране обратной связи и нажмите Завершить.

9. Перейдите на вкладку Назначения и добавьте группу, которую вы создали выше.

10. На вкладке Sign On для вашего нового приложения нажмите кнопку Просмотреть инструкции по настройке SAML.

    

11. Соберите эти три элемента и перейдите к Отправке запроса на поддержку выше, чтобы завершить процесс.

• URL единой авторизации провайдера идентификации
• Выдаватель провайдера идентификации
• Сертификат X.509

Настройка Google SAML

Вы настроите одно SAML приложение в Google для каждой организации и должны предоставить вашим пользователям прямую ссылку (https://console.clickhouse.cloud/?connection={organizationId}), чтобы она была добавлена в закладки, если используется многоорганизационный SSO.

Создайте Google Web App

1. Перейдите в консоль администратора Google (admin.google.com).

2. Нажмите Приложения, затем Веб и мобильные приложения слева.

3. Нажмите Добавить приложение в верхнем меню, затем выберите Добавить пользовательское SAML приложение.

4. Введите имя для приложения и нажмите Далее.

5. Соберите эти два элемента и перейдите в Отправку запроса на поддержку выше, чтобы предоставить информацию нам. ПРИМЕЧАНИЕ: Если вы завершили настройку до копирования данных, нажмите СКАЧАТЬ МЕТА-данные на главном экране приложения, чтобы получить сертификат X.509.

• URL SSO
• Сертификат X.509

7. Введите URL ACS и идентификатор сущности ниже.

   Поле	Значение
   ACS URL	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   Идентификатор сущности	urn:auth0:ch-production:{organizationid}

8. Установите флажок для Подписанного ответа.

9. Выберите EMAIL для формата имени ID и оставьте имя ID как Основная информация > Основной email.

10. Нажмите Далее.

11. Введите следующее отображение атрибутов:

Поле	Значение
Основная информация	Основной email
Атрибуты приложения	email

13. Нажмите Завершить.

14. Чтобы включить приложение, нажмите ВЫКЛ для всех и измените настройку на ВКЛ для всех. Доступ также может быть ограничен для групп или организационных единиц, выбрав параметры на левой стороне экрана.

Настройка Azure (Microsoft) SAML

Azure (Microsoft) SAML также может называться Azure Active Directory (AD) или Microsoft Entra.

Создайте корпоративное приложение Azure

Вы настроите одну интеграцию приложения с отдельным URL для входа для каждой организации.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите в раздел Приложения > Корпоративные приложения слева.

3. Нажмите Новое приложение в верхнем меню.

4. Нажмите Создайте свое собственное приложение в верхнем меню.

5. Введите имя и выберите Интегрируйте любое другое приложение, которое вы не найдете в галерее (не-галерея), затем нажмите Создать.

   

6. Нажмите Пользователи и группы слева и назначьте пользователей.

7. Нажмите Единый вход слева.

8. Нажмите SAML.

9. Используйте следующие настройки для заполнения экрана основной конфигурации SAML.

   Поле	Значение
   Идентификатор (идентификатор сущности)	urn:auth0:ch-production:{organizationid}
   URL ответа (URL служебного потребления утверждений)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL входа	https://console.clickhouse.cloud/?connection={organizationid}
   Состояние переадресации	Пусто
   URL выхода	Пусто

10. Добавьте (A) или обновите (U) следующее в разделе Атрибуты и утверждения:

    Имя утверждения	Формат	Атрибут источника
    (U) Уникальный идентификатор пользователя (имя ID)	Email адрес	user.mail
    (A) email	Основной	user.mail
    (U) /identity/claims/name	Убрано	user.mail

    

11. Соберите эти два элемента и перейдите в Отправку запроса на поддержку выше, чтобы завершить процесс:

• URL входа
• Сертификат (Base64)

Настройка Duo SAML

Создайте универсальный SAML-провайдер услуг для Duo

1. Следуйте инструкциям для Duo Single Sign-On для универсальных SAML провайдеров услуг.

2. Используйте следующее отображение атрибутов моста:

   Атрибут моста	Атрибут ClickHouse
   Email адрес	email

3. Используйте следующие значения для обновления вашего облачного приложения в Duo:

   Поле	Значение
   Идентификатор сущности	urn:auth0:ch-production:{organizationid}
   URL служебного потребления утверждений (ACS)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL входа провайдера услуг	https://console.clickhouse.cloud/?connection={organizationid}

4. Соберите эти два элемента и перейдите в Отправку запроса на поддержку выше, чтобы завершить процесс:

   • URL единой авторизации
   • Сертификат

Как это работает

SSO, инициируемый провайдером услуг

Мы используем только SSO, инициируемый провайдером услуг. Это означает, что пользователи переходят на https://console.clickhouse.cloud и вводят свой адрес электронной почты, чтобы быть перенаправленными на IdP для аутентификации. Пользователи, уже аутентифицированные через ваш IdP, могут использовать прямую ссылку для автоматического входа в вашу организацию, не вводя свой адрес электронной почты на странице входа.

Назначение ролей пользователям

Пользователи появятся в вашей консоли ClickHouse Cloud после того, как они будут назначены вашему приложению IdP и войдут в первый раз. По крайней мере, одному SSO-пользователю должна быть назначена роль Admin в вашей организации. Используйте социальный вход или https://console.clickhouse.cloud/?with=email, чтобы войти с вашим первоначальным методом аутентификации для обновления вашей SSO роли.

Удаление пользователей, не использующих SSO

После настройки пользователей SSO и назначения по крайней мере одного пользователя роли Admin, администратор может удалить пользователей, использующих другие методы (например, социальная аутентификация или ID пользователя + пароль). Аутентификация Google будет продолжать работать после настройки SSO. Пользователи с ID пользователя + паролем будут автоматически перенаправлены на SSO в зависимости от домена их электронной почты, если только пользователи не используют https://console.clickhouse.cloud/?with=email.

Управление пользователями

ClickHouse Cloud в настоящее время реализует SAML для SSO. Мы еще не реализовали SCIM для управления пользователями. Это означает, что пользователи SSO должны быть назначены приложению в вашем IdP для доступа к вашей организации ClickHouse Cloud. Пользователи должны войти в ClickHouse Cloud один раз, чтобы появиться в области Пользователи в организации. Когда пользователи удаляются в вашем IdP, они не смогут войти в ClickHouse Cloud, используя SSO. Тем не менее, SSO-пользователь будет по-прежнему отображаться в вашей организации, пока администратор не удалит пользователя вручную.

Многоорганизационный SSO

ClickHouse Cloud поддерживает многоорганизационный SSO, предоставляя отдельное подключение для каждой организации. Используйте прямую ссылку (https://console.clickhouse.cloud/?connection={organizationid}), чтобы войти в каждую соответствующую организацию. Не забудьте выйти из одной организации перед входом в другую.

Дополнительная информация

Безопасность является нашим главным приоритетом, когда дело доходит до аутентификации. По этой причине мы приняли несколько решений при реализации SSO, о которых мы хотим, чтобы вы знали.

• Мы обрабатываем только аутентификационные потоки, инициируемые провайдером услуг. Пользователи должны перейти на https://console.clickhouse.cloud и ввести адрес электронной почты, чтобы перенаправиться к вашему провайдеру идентичности. Инструкции по добавлению закладочного приложения или ярлыка предоставлены для вашего удобства, чтобы вашим пользователям не нужно было запоминать URL.

• Все пользователи, назначенные вашему приложению через ваш IdP, должны иметь один и тот же домен электронной почты. Если у вас есть подрядчики, контрагенты или консультанты, которым вы хотите предоставить доступ к вашему аккаунту ClickHouse, они должны иметь адрес электронной почты с тем же доменом (например, user@domain.com), что и ваши сотрудники.

• Мы не автоматически связываем учетные записи SSO и не-SSO. Вы можете видеть несколько учетных записей для ваших пользователей в вашем списке пользователей ClickHouse, даже если они используют один и тот же адрес электронной почты.