使用 PingFederate 身份提供方配置仪表板访问控制
MATLAB® Production Server™ 管理员可以使用 Ping Identity® 中的 PingFederate® 为 MATLAB Production Server 仪表板配置基于角色的访问控制。基于角色的访问控制允许管理员向特定用户或用户组授予对仪表板特定区域的访问权限。有关仪表板支持的角色的更多信息,请参阅仪表板访问控制。
要为 MATLAB Production Server 启用仪表板访问控制,请咨询 PingFederate 管理员以配置 PingFederate 并指定访问控制策略。
前提条件
请参阅 PingFederate 文档以配置 OAuth 用例、客户端和端点,以及配置 OpenID® 提供方信息:
配置 PingFederate 身份提供方
要配置 PingFederate:
登录仪表板以检索仪表板的重定向 URI。
使用重定向 URI 在 PingFederate 中注册客户端应用程序。
在仪表板中,输入特定于所注册应用程序和 PingFederate 的值。
从仪表板检索重定向 URI
要检索重定向 URI,请在仪表板中开始为您的身份提供方创建配置:
导航到 Dashboard Access Control 选项卡或 Manage Identity Providers 选项卡。
点击 Create 并选择 PingFederate。
在 Create Identity Provider for Dashboard Access Control 中,记下仪表板的重定向 URI。
稍后,您将返回此视图以指定在仪表板中配置身份提供方所需的值。
在 PingFederate 中注册应用程序
如果尚未注册应用程序,请在 PingFederate 中为 MATLAB Production Server 仪表板注册一个。咨询 PingFederate 管理员以注册该应用程序。注册应用程序时,提供 MATLAB Production Server 仪表板的 Redirect URI。
在仪表板中指定值
使用 PingFederate 注册应用程序后,您会收到应用程序特定的值,例如 Client ID 和 Client Secret。在 Create Identity Provider for Dashboard Access Control 下的仪表板中输入特定于应用程序的值和特定于 PingFederate 的值。
下表描述了您必须输入的值。输入值后点击 Create。
| 字段 | 描述 |
|---|---|
| Client ID | 所注册客户端应用程序的应用程序 ID。 |
| Client Secret | 所注册客户端应用程序的客户端机密。 |
| OIDC Issuer | OIDC 提供方的发现端点 URI。 |
| JWT Issuer | OIDC 提供方的 JWT 发行方元数据。 |
| JWKS URI | 用于检索 JSON Web 密钥集 (JWKS) 的 URI。 |
指定仪表板访问控制策略
在指定仪表板访问控制策略之前,您必须在 PingFederate 中设置用户和组(如果适用)。请咨询 PingFederate 管理员以了解此设置。
访问控制策略定义了用户或用户组可以访问的仪表板区域以及他们可以在这些区域中执行的任务。通过输入用户名和组 ID,使用策略将管理员和应用程序作者角色分配给组织中的用户或用户组。输入值后点击 Save。
在仪表板的 Dashboard Access Control 选项卡中,选择 PingFederate 作为身份提供方。
在 Dashboard Access Control Policy 部分中,输入身份提供方特定的用户名和组 ID,以便为组织中的用户或用户组分配管理员和应用程序作者角色。使用逗号分隔多个用户名和组 ID。输入值后点击 Save。
启用仪表板访问控制
配置 PingFederate 并指定访问控制策略后,您必须通过选择 Yes 选项来启用仪表板访问控制。在启用仪表板访问控制后,将会提供一个支持单一登录 (SSO) 的仪表板登录 URL。请将此 URL 分享给经理和应用程序作者。
