与Google Workspace集成

帧通过OAUTH2和SAML2集成选项支持Google身份验证的单个登录(SSO)。OAuth2选项最容易设置,可以在一分钟内完成。SAML2选项也相对较快且容易,但确实需要几个步骤。

Google Workspace OAuth2 SSO集成

配置Google Workspace OAuth2

如果您想与框架启用Google Workspace OAuth2集成,则首先需要遵循Google指南中概述的过程控制哪些第三方和内部应用访问Google Workspace数据

  1. 在Google Admin Console主页上,转到Security> API控件。

  2. 在应用程序访问控制下,单击管理第三方应用程序访问。

  3. 单击“配置新应用”下拉菜单,然后选择“ OAuth应用程序名称或客户端ID”。

  4. 搜索客户ID884836301137-76L5EPASIOE5SB3QVSP31OBN45QK6T5I.APPS.GOOGLEUSERCORCORCONTENT.COM

  5. 在搜索结果中找到Nutanix框架应用程序后,单击“选择”。

  6. 检查使用客户端ID的Nutanix帧应用程序的复选框884836301137-76L5EPASIOE5SB3QVSP31OBN45QK6T5I.APPS.GOOGLEUSERCORCORCONTENT.COM然后单击“选择”。

  7. 对于应用访问,请指定此nutanix框架应用程序为值得信赖然后单击“配置”。

在框架中配置Google OAuth2

在组织或客户级别上,单击屏幕右上角的配置文件图标,然后选择“转到管理员”。导航到所需的客户或组织,单击实体名称右侧的省略号,然后单击“用户”。

../../../_images/generic_usersnav11.png

从“身份验证”选项卡中,启用列出的Google身份验证切换。单击右上角的“保存”。

../../../_images/goauth2.png

单击“安全”选项卡下方列出的新创建的“ Google”选项卡。从那里,单击“添加”。

../../../_images/goauth3.png

将出现“添加Google授权”窗口:

../../../_images/goauth4.png

从这个窗口中,您可以指定要授予访问权限及其相应角色的各个电子邮件地址或整个域。对于此示例,我们将访问域mycompany.com。与该域相关的所有用户都将在“应用程序2”启动板上授予“启动板用户”访问。完成指定电子邮件/域和角色后,单击“添加”。在“管理用户权限”框架文档部分。

../../../_images/goauth5.png

笔记

指定G套件域时,必须将@符号,如上所示。

与Google Workspace签名

现在,您可以指示用户在访问其框架登录页面并输入其Google凭据时选择“使用Google登录”选项。

../../../_images/goauth6.png

将提示他们在第一次登录时允许Nutanix框架访问其Google驱动器。然后,一旦连接到其框架帐户,它将自动连接到其Google驱动器(无需进一步点击或需要身份验证步骤)。

../../../_images/gauthaccess.png

就是这样!您的用户现在可以通过我们的OAUTH2集成选项在您的帐户上使用Google登录。如果您希望使用SAML2设置集成,请继续阅读。

Google Workspace SAML2集成

笔记

Google Workspace SAML2集成只能由具有超级管理员在Google Workspace帐户中角色。在此配置过程中,我们将从Google Workspace管理员控制台过渡到Nutanix控制台。

1.导航并登录到您的Google Admin Console。单击“应用程序”,然后单击“网络和移动应用程序”。

../../../_images/googw1.png

  1. 从“应用程序设置”页面中,单击“添加应用程序”,然后从下拉列表中“添加自定义SAML应用”。

../../../_images/googw2.png

3.输入应用程序名称的“ Nutanix帧”,并在下面上传我们的徽标图像之一。准备就绪时单击“继续”。

PIC1PIC2

../../../_images/gauth3.png

4.单击按钮下载“下载元数据”。将其保存在Nutanix控制台中的以后步骤中可访问的地方;这个元数据告诉Nutanix如何代表该应用程序与Google进行通信。准备就绪时单击“继续”。

../../../_images/gauth4.png

  1. 接下来,我们将仔细输入值ACS URL实体ID字段。

ACS(断言消费者服务)URL:这是Google将向NUTANIX发送信息(名字,姓氏和电子邮件地址)的信息。在这里,我们将输入Nutanix ACS URL,该URL将采用以下格式,为您的任意名称提供[saml_integration_name];也许是类似的mycompany-nutanixsaml或者mycompany-sso。例如:

#示例集成名称:mycompany-nutanixsaml#ACS URL模板:https://img.frame.nutanix.com/saml2/done/ [saml_integration_name ]/# 结果:https//IMG框架nutanixcom/SAML2/完毕/我的公司-nutanixsaml/

警告

正方形支架不应在URL中存在,而尾随的前向斜线/最后需要。

实体ID:该领域也是任意的,必须是URI,URN或URL;这个值是区分大小写。实体ID附加到事件日志中,以用于管理目的,并且是需要匹配在Google和Nutanix控制台的设置中,可以通过SAML2验证和正确识别彼此。

您的SAML集成名称和实体ID

保留[SAML_Integration_name]和实体ID的选择,因为在Nutanix控制台的SAML2配置页面的稍后步骤中需要它们。框架将其SAML设置中的实体ID称为“应用程序ID”。

集成名称和实体ID值对大小写;他们必须对URL友好;它们必须在Google的管理设置和Nutanix控制台中匹配(因为这些值在Google和Nutanix之间的来回SAML通信中使用)。

  1. 好吧,既然我们已经把这两个弄清楚了,我们有了启动URL

启动URL允许用户进行身份验证并直接导航到Nutanix来自Google的工作区门户。这通常称为“身份提供者启动登录”。在大多数情况下,启动URL的值只是用户可以访问的帐户的启动板或仪表板URL。如果此字段留为空白,您的用户仍然可以使用此Google应用程序登录Nutanix从nutanix控制台在页面中的符号。如果您有很多nutanix账户可以登陆,则可能需要留下空白。

7.接下来,确保名称ID格式字段设置为“持久”,并且名称ID字段设置为“基本信息>主电子邮件”。准备就绪时单击“继续”。

../../../_images/gauth5.png

  1. 在这里,我们需要在用户字段之间配置从Google到Nutanix所期望的可识别术语的映射。

../../../_images/gauth6.png

完成后单击“完成”。

9.现在,您将被带到新自定义应用程序的主页上。我们需要做的最后一件事是启用用户访问,作为新自定义应用程序的默认设置是为每个人服务。要启用访问,请单击页面顶部的“用户访问”部分。

然后,配置您的用户/组访问,然后单击“保存”。在我们的用例中,我们希望这项服务为每个人提供:

../../../_images/gauth-saml-user-access.png

就是这样的Google Admin部分 - 我们已经到了一半!至此,您应该拥有以下项目来设置Nutanix控制台作为SAML2服务提供商:

  1. 下载的元数据XML文件

  2. saml_integration_name

  3. 实体ID(后来引用为应用程序ID)

10.首先,登录到您的Nutanix控制台。然后,找到一个帐户/组织/客户,然后单击省略号菜单(右侧的垂直三点图标),然后选择“用户”。SAML2集成可以在任何实体(客户,组织或帐户)上配置。在我们的示例中,我们正在与Google Workspace集成在客户范围/级别上。

../../../_images/gauth7.png

  1. 启用“ SAML2”,然后单击屏幕右上角的蓝色“保存”按钮。

../../../_images/gauth8.png

  1. 现在,您将在顶部看到一个新的“ SAML2提供商”。选择“ SAML2提供程序”选项卡,然后在右上角选择“添加SAML2提供商”。

../../../_images/gauth9.png

  1. 接下来,我们将填充字段以配置我们的SAML2集成。

../../../_images/gauth10.png

  • 应用ID: 输入实体ID从早期的步骤。

  • Auth Provider Metadata:单击“ XML”选项,然后从中粘贴元数据XML文件的内容第4步

  • 集成名称:粘贴您选择的SAML_Integration_name的选择值步骤5

  • 自定义标签: 选修的。允许管理员自定义与此SAML2集成相关的页面上的nutanix登录。

  • 身份验证令牌到期:选择一个代币的到期持续时间,以支持您的最终用户工作流并符合您的安全策略。

  • 启用“签名断言”

最后,确认所有内容已正确输入,然后单击“添加”。

配置SAML2权限

一旦在Nutanix控制台中成功配置了SAML2提供商,管理员将需要从SAML2提供商选项卡的右侧列出的“ SAML2权限”选项卡中添加授权规则。

要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。

../../../_images/saml2permissions.png

为用户配置了权限后,就是这样!您已经准备好测试签名。继续阅读以在URL中识别Nutanix符号。

使用Google Workspace进行测试签名

您的新SAML2集成将以与其配置的范围相关联的页面上的Nutanix控制台登录上的按钮出现。导航到您的特定符号的URL将根据配置SAML2集成的哪个级别而有所不同。

客户级别:

https://console.nutanix.com/ [customer_url_slug ]/

组织级别:

https://console.nutanix.com/ [customer_url_slug ]/ [organization_url_slug ]/

帐户级别:

https://console.nutanix.com/ [customer_url_slug ]/ [organization_url_slug ]/ [account_url_slug ]/

使用Google Workspace登录页面:

../../../_images/final-google-workspace.png