跳转到主要内容
在 Vantage 中为租户身份验证配置 OAuth 2.0 或 SAML 2.0 外部身份提供程序。
注意: 如果您设置了外部身份提供程序,则资源所有者密码凭据(Resource Owner Password Credentials)身份验证流程将无法使用。
要在 Vantage 中为租户设置外部身份提供程序,请按以下步骤操作:
  1. 配置外部身份提供程序(配置 OAuth 2.0 外部身份提供程序配置 SAML 2.0 外部身份提供程序)。准备好上述章节中所述的外部身份验证参数。
  2. 测试 已配置的外部身份验证。
  3. 在 ABBYY Vantage 中,单击左侧窗格中的 Configuration 选项卡。
  4. 单击 Identity Provider 并选择 External Identity Provider
  5. 在下拉列表中,选择所需的协议(OAuthSAML 选项)。

配置 OAuth 2.0 外部 Identity Provider

填写 Identity ProviderIdentity Provider URLClient ID 字段。您还可以为租户用户设置电子邮件地址域,该域将与您的租户关联。 Identity Provider OAuth 配置 要与除 Active Directory 或 Azure Active Directory Identity Provider 之外的外部 Identity Provider 建立安全连接,可能需要提供客户端密钥。如果是这种情况,请在 Identity Provider 字段中选择 Other,并在 Client Secret 字段中输入您的客户端密钥。 
字段描述
Identity Provider指定通过 Active Directory 或 Azure Active Directory Identity Provider 进行登录身份验证。
Identity Provider URLIdentity Provider 的 URL。
该 URL 可在 Azure 门户中您为身份验证而注册的应用程序的 Endpoints 部分找到。
Client ID已配置的 Active Directory 或 Azure Active Directory Identity Provider 的客户端标识符。
Associated Email Domains租户用户的关联电子邮件地址域,这些用户即使尚未拥有 Vantage 帐户,也仍然可以登录此租户。有关详细信息,请参见 关联电子邮件域

设置 SAML 2.0 外部身份提供程序

填写 Federation Metadata Document URL 字段。您还可以为租户用户设置电子邮件地址域名,该域名将与您的租户关联。
字段描述
Federation Metadata Document URL指定通过 Active Directory 或 Azure Active Directory 身份提供程序进行登录身份验证。
Application ID URI指定 Azure Active Directory 身份提供程序的自定义 URI。此字段为可选项。如果留空,则会使用已废弃的 ID api://platform.abbyy.cloud/{tenantId}
其中 tenantId 是 Vantage 租户标识符,采用不带连字符的 GUID 格式(例如 117489fc1aea41658369d4d18d6557ga)。
Associated Email Domains为应当能够登录到租户的租户用户指定关联的电子邮件地址域名,即使他们尚未拥有 Vantage 帐户。更多信息,请参阅 关联的电子邮件域
  1. 单击 Apply Changes
注意: 如果要重置或恢复为 Vantage 身份提供程序,您始终可以在此页面上选择 Vantage 并单击 Apply Changes。这适用于用户当前会话(访问令牌)尚未过期的情况。如果会话已过期,则需要通过已配置的外部身份提供程序进行身份验证,才能访问租户。在这种情况下,请联系系统管理员。

为新用户设置默认角色

您可以为通过外部身份提供程序自动创建的用户配置默认角色。   要在 ABBYY Vantage 中为新用户设置默认角色,请执行以下步骤:  
  1. 在 ABBYY Vantage 中,单击左侧窗格中的 Configuration 选项卡。  
  2. 单击 Identity Provider,并选择 External Identity Provider。  
  3. 在下拉列表中,找到 Default Role for New Users。  
  4. 选择一个或多个角色,以自动分配给租户中新创建的所有用户。  
  5. 单击 Apply Changes。  
注意
  • 所选角色将自动应用于租户中新创建的所有用户。  
  • 对于每个所选角色,Allow all for current and further skills 开关默认处于启用状态。这会在初始配置中为用户授予对所有技能的访问权限。管理员可以随时在 Users 配置界面中修改这些权限。  
  • 要了解有关可用角色和权限的更多信息,请参阅使用外部身份提供程序进行身份验证。 

在不使用 XML 文件 URL 的情况下配置 SAML 2.0 外部身份提供程序

您可以通过将 XML 元数据文件的内容复制到 Vantage API 请求中,来配置 Vantage 使用 SAML 2.0 外部身份提供程序。XML 文件的内容应包含与支持 SAML 的身份提供程序交互所需的信息。 要通过 Vantage API 配置 SAML 2.0 外部身份提供程序,请执行以下操作:
  1. 在 Vantage API 中完成身份验证(详细信息请参阅 Authentication 文档)。
  2. https://<your-vantage-url>/api/adminapi2/v1/tenants/<tenantId>/external-providers/ 发送带有 Authorization = Bearer <access token> 头的 PUT 请求,并在请求正文中提供以下参数:
ParameterDescription
kind使用的协议。该参数的值为 Saml2
settings.Metadata您的 XML 元数据文件的内容。
示例请求: 
curl --location --request PUT "https://<your-vantage-url>/api/adminapi2/v1/tenants/<tenantId>/external-providers/"
-H "Authorization: Bearer <token>"
{
  "providerSettings": {
    "kind": "Saml2",
    "settings": {
      "Metadata": "<SAML XML file contents>"
    }
  }
}

curl --location --request PUT 'https://<your-vantage-url>/api/adminapi2/v1/tenants/<tenant-id>/external-providers/'
-H 'Authorization: Bearer <token>'
{
  'providerSettings': {
    'kind': 'Saml2',
    'settings': {
      'Metadata': '<SAML XML file contents>'
    }
  }
}