使用其他 OpenID Connect 提供方配置仪表板访问控制
MATLAB® Production Server™ 仪表板支持使用任何 OpenID Connect (OIDC) 身份提供方对仪表板进行基于角色的访问控制。基于角色的访问控制允许服务器管理员对特定用户或用户组授予对仪表板特定区域的访问权限。有关仪表板支持的角色的更多信息,请参阅仪表板访问控制。
要启用仪表板访问控制,请咨询 OIDC 提供方管理员以配置 OIDC 提供方并指定仪表板访问控制策略。
配置身份提供方
要配置身份提供方:
登录仪表板以检索仪表板的重定向 URI。
在身份提供方的网站上,使用重定向 URI 将仪表板作为客户端应用程序注册到提供方。
在仪表板中,输入特定于所注册应用程序和身份提供方的值。
从仪表板检索重定向 URI
要检索重定向 URI,请在仪表板中开始为您的身份提供方创建配置:
导航到 Dashboard Access Control 选项卡或 Manage Identity Providers 选项卡。
点击 Create 并选择 Other。
在 Create Identity Provider for Dashboard Access Control 中,记下仪表板的重定向 URI。
稍后,您将返回此视图以指定在仪表板中配置身份提供方所需的值。
向身份提供方注册应用程序
向 MATLAB Production Server 仪表板的 OIDC 提供方注册一个应用程序。咨询 OIDC 提供方管理员以注册该应用程序。注册应用程序时,提供 MATLAB Production Server 仪表板的重定向 URI。
在仪表板中指定值
在向身份提供方注册应用程序后,您会收到特定于应用程序的值,例如客户端 ID 和客户端机密。在 Create Identity Provider for Dashboard Access Control 下的仪表板中输入值。
下表描述了您必须输入的值。输入值后点击 Create。
| 字段 | 描述 |
|---|---|
| Client ID | 所注册客户端应用程序的应用程序 ID |
| Client Secret | 所注册客户端应用程序的客户端机密 |
| OIDC Issuer | OIDC 提供方的发现端点 URI |
| JWT Issuer | OIDC 提供方的 JWT 发行方元数据 |
| JWKS URI | 用于检索 JSON Web 密钥集 (JWKS) 的 URI |
在 Create Identity Provider for Dashboard Access Control 下,您可以选择为 UserAttribute ID 和 GroupAttribute ID 提供默认值以外的值。UserAttribute ID 是唯一标识用户的 JWT 声明名称。GroupAttribute ID 是列出用户所属组的 JWT 声明名称。根据您使用的身份提供方,您可能必须更改默认设置。
指定仪表板访问控制策略
在指定仪表板访问控制策略之前,您必须在身份提供方中设置用户和组(如果适用)。请咨询 OIDC 提供方管理员以了解此设置。
访问控制策略定义了用户或用户组可以访问的仪表板区域以及他们可以在这些区域中执行的任务。
在仪表板的 Dashboard Access Control 选项卡上,选择您想要使用的身份提供方。
在 Dashboard Access Control Policy 部分中,输入身份提供方特定的用户名和组 ID,以便为组织中的用户或用户组分配管理员和应用程序作者角色。使用逗号分隔多个用户名或组 ID。输入值后点击 Save。
例如,在下图中,用户
alice@yourcompany.com和bob@yourcompany.com具有经理角色。用户trent@yourcompany.com和属于组 ID1hui5f1a-0bc8-ioa9-afdc-cea5098005ab的所有用户都具有应用程序作者角色。
启用仪表板访问控制
配置身份提供方并指定访问控制策略后,您必须通过选择 Yes 选项来启用仪表板访问控制。在启用仪表板访问控制后,将会提供一个支持单一登录 (SSO) 的仪表板登录 URL。请将此 URL 分享给经理和应用程序作者。
