Настройка SAML SSO

Enterprise plan feature

SAML SSO is available in the Enterprise plan. To upgrade, visit the Plans page in the cloud console.

ClickHouse Cloud поддерживает единую аутентификацию (SSO) через язык разметки утверждений безопасности (SAML). Это позволяет вам безопасно входить в вашу организацию ClickHouse Cloud, аутентифицируясь через вашего провайдера удостоверений (IdP).

В настоящее время мы поддерживаем SSO, инициируемую провайдером услуги, множественные организации с отдельными подключениями и своевременное предоставление. Мы еще не поддерживаем систему управления идентификацией между доменами (SCIM) или сопоставление атрибутов.

Перед тем как начать

Вам потребуются права администратора в вашем IdP и роль Admin в вашей организации ClickHouse Cloud. После настройки подключения в вашем IdP свяжитесь с нами, предоставив информацию, запрашиваемую в следующей процедуре, для завершения процесса.

Мы рекомендуем настроить прямую ссылку на вашу организацию дополнительно к вашему SAML-подключению, чтобы упростить процесс входа. Каждый IdP обрабатывает это по-разному. Читайте дальше, чтобы узнать, как сделать это для вашего IdP.

Как настроить ваш IdP

Шаги

Получите ваш идентификатор организации

Все настройки требуют ваш идентификатор организации. Для получения вашего идентификатора организации:

1. Войдите в вашу ClickHouse Cloud организацию.

   

2. В нижнем левом углу нажмите на название вашей организации под Organization.

3. В появившемся меню выберите Organization details.

4. Запишите ваш Идентификатор организации для дальнейшего использования.

Настройте вашу SAML интеграцию

ClickHouse использует SAML-соединения, инициируемые провайдером услуги. Это означает, что вы можете войти через https://console.clickhouse.cloud или через прямую ссылку. В настоящее время мы не поддерживаем соединения, инициируемые провайдером удостоверений. Основные конфигурации SAML включают следующее:

• SSO URL или ACS URL: https://auth.clickhouse.cloud/login/callback?connection={organizationid}

• Audience URI или Entity ID: urn:auth0:ch-production:{organizationid}

• Имя пользователя приложения: email

• Сопоставление атрибутов: email = user.email

• Прямая ссылка для доступа к вашей организации: https://console.clickhouse.cloud/?connection={organizationid}

Для конкретных шагов по конфигурации обратитесь к вашему провайдеру удостоверений ниже.

Получите информацию о подключении

Получите ваш SSO URL провайдера удостоверений и сертификат x.509. Обратитесь к вашему конкретному провайдеру удостоверений ниже для инструкций о том, как получить эту информацию.

Подайте запрос в службу поддержки

1. Вернитесь в консоль ClickHouse Cloud.

2. Выберите Help слева, затем подменю Support.

3. Нажмите New case.

4. Введите тему "Настройка SAML SSO".

5. В описании вставьте любые ссылки, собранные из приведенных выше инструкций, и прикрепите сертификат к тикету.

6. Пожалуйста, также сообщите нам, какие домены должны быть разрешены для этого подключения (например, domain.com, domain.ai и т.д.).

7. Создайте новый случай.

8. Мы завершим настройку в ClickHouse Cloud и сообщим вам, когда всё будет готово к тестированию.

Завершите настройку

1. Назначьте доступ пользователям в вашем провайдере удостоверений.

2. Войдите в ClickHouse через https://console.clickhouse.cloud ИЛИ прямую ссылку, настроенную вами в разделе 'Настройка вашей SAML интеграции' выше. Пользователи изначально назначаются роли 'Developer', которая имеет доступ только для чтения к организации.

3. Выйдите из организации ClickHouse.

4. Войдите с помощью вашего первоначального метода аутентификации, чтобы назначить роль Admin для вашей новой SSO учетной записи.

• Для учетных записей с email + паролем используйте https://console.clickhouse.cloud/?with=email.
• Для социальных логинов нажмите соответствующую кнопку (Continue with Google или Continue with Microsoft)

5. Выйдите с помощью вашего первоначального метода аутентификации и войдите снова через https://console.clickhouse.cloud ИЛИ прямую ссылку, настроенную вами в разделе 'Настройка вашей SAML интеграции' выше.

6. Удалите любых пользователей, не использующих SAML, чтобы обеспечить использование SAML для организации. В дальнейшем пользователи назначаются через вашего провайдера удостоверений.

Настройка Okta SAML

Вам нужно будет настроить две интеграции приложений в Okta для каждой организации ClickHouse: одно SAML приложение и одну закладку для хранения вашей прямой ссылки.

1. Создайте группу для управления доступом

1. Войдите в вашу инстанцию Okta как Administrator.

2. Выберите Groups слева.

3. Нажмите Add group.

4. Введите название и описание группы. Эта группа будет использоваться для того, чтобы поддерживать пользователей в одном и том же состоянии между SAML приложением и связанным с ним приложением закладки.

5. Нажмите Save.

6. Нажмите на название группы, которую вы создали.

7. Нажмите Assign people, чтобы назначить пользователям доступ к этой организации ClickHouse.

2. Создайте приложение закладки, чтобы пользователи могли бесшовно войти

1. Выберите Applications слева, затем выберите подпункт Applications.

2. Нажмите Browse App Catalog.

3. Найдите и выберите Bookmark App.

4. Нажмите Add integration.

5. Выберите название для приложения.

6. Введите URL как https://console.clickhouse.cloud/?connection={organizationid}

7. Перейдите на вкладку Assignments и добавьте группу, которую вы создали выше.

3. Создайте SAML приложение для включения подключения

1. Выберите Applications слева, затем выберите подпункт Applications.

2. Нажмите Create App Integration.

3. Выберите SAML 2.0 и нажмите Next.

4. Введите имя для вашего приложения и отметьте флажок рядом с Do not display application icon to users, затем нажмите Next.

5. Используйте следующие значения для заполнения экрана настроек SAML.

   Поле	Значение
   URL единой аутентификации	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   Audience URI (SP Entity ID)	urn:auth0:ch-production:{organizationid}
   Default RelayState	Оставьте пустым
   Формат Name ID	Не указан
   Имя пользователя приложения	Email
   Обновить имя пользователя приложения на	Создать и обновить

6. Введите следующее утверждение атрибута.

   Имя	Формат имени	Значение
   email	Basic	user.email

7. Нажмите Next.

8. Введите запрашиваемую информацию на экране обратной связи и нажмите Finish.

9. Перейдите на вкладку Assignments и добавьте группу, которую вы создали выше.

10. На вкладке Sign On для вашего нового приложения нажмите кнопку View SAML setup instructions.

    

11. Соберите эти три позиции и перейдите к Подайте запрос в службу поддержки выше, чтобы завершить процесс.

• URL единой аутентификации провайдера удостоверений
• Выдаватель провайдера удостоверений
• X.509 сертификат

Настройка Google SAML

Вы будете настраивать одно SAML приложение в Google для каждой организации и должны предоставить вашим пользователям прямую ссылку (https://console.clickhouse.cloud/?connection={organizationId}) для закладки, если используется многопользовательский SSO.

Создайте веб-приложение Google

1. Перейдите в вашу консоль администратора Google (admin.google.com).

2. Нажмите Apps, затем Web and mobile apps слева.

3. Нажмите Add app в верхнем меню, затем выберите Add custom SAML app.

4. Введите название приложения и нажмите Continue.

5. Соберите эти два элемента и перейдите к Подайте запрос в службу поддержки выше, чтобы отправить информацию нам. ПРИМЕЧАНИЕ: Если вы завершите настройку перед копированием этих данных, нажмите DOWNLOAD METADATA на главном экране приложения, чтобы получить сертификат X.509.

• SSO URL
• X.509 сертификат

7. Введите ACS URL и Entity ID ниже.

   Поле	Значение
   ACS URL	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   Entity ID	urn:auth0:ch-production:{organizationid}

8. Установите флажок для Signed response.

9. Выберите EMAIL для формата имени ID и оставьте Name ID как Basic Information > Primary email.

10. Нажмите Continue.

11. Введите следующее сопоставление атрибутов:

Поле	Значение
Основная информация	Первичный email
Атрибуты приложения	email

13. Нажмите Finish.

14. Чтобы включить приложение, установите значение OFF для всех и измените настройку на ON для всех. Доступ также может быть ограничен до групп или организационных единиц, выбрав опции на левой стороне экрана.

Настройка Azure (Microsoft) SAML

SAML Azure (Microsoft) также может называться Azure Active Directory (AD) или Microsoft Entra.

Создайте предприятия Azure приложение

Вам нужно будет настроить одну интеграцию приложения с отдельным URL для входа для каждой организации.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите в Applications > Enterprise приложения слева.

3. Нажмите New application в верхнем меню.

4. Нажмите Create your own application в верхнем меню.

5. Введите название и выберите Integrate any other application you don't find in the gallery (Non-gallery), затем нажмите Create.

   

6. Нажмите Users and groups слева и назначьте пользователей.

7. Нажмите Single sign-on слева.

8. Нажмите SAML.

9. Используйте следующие настройки для заполнения экрана базовой конфигурации SAML.

   Поле	Значение
   Идентификатор (Entity ID)	urn:auth0:ch-production:{organizationid}
   URL ответа (Assertion Consumer Service URL)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL для входа	https://console.clickhouse.cloud/?connection={organizationid}
   Состояние пересылки	Пусто
   URL для выхода	Пусто

10. Добавьте (A) или обновите (U) следующее в разделе Attributes & Claims:

    Имя утверждения	Формат	Исходный атрибут
    (U) Уникальный идентификатор пользователя (Name ID)	Email адрес	user.mail
    (A) email	Basic	user.mail
    (U) /identity/claims/name	Не включен	user.mail

    

11. Соберите эти два элемента и перейдите к Подайте запрос в службу поддержки выше, чтобы завершить процесс:

• URL для входа
• Сертификат (Base64)

Настройка Duo SAML

Создайте Generic SAML Service Provider для Duo

1. Следуйте инструкциям для Duo Single Sign-On для Generic SAML Service Providers.

2. Используйте следующее сопоставление атрибутов Bridge:

   Атрибут Bridge	Атрибут ClickHouse
   Email Address	email

3. Используйте следующие значения, чтобы обновить ваше облачное приложение в Duo:

   Поле	Значение
   Entity ID	urn:auth0:ch-production:{organizationid}
   URL сервиса для подтверждения (ACS)	https://auth.clickhouse.cloud/login/callback?connection={organizationid}
   URL для входа в провайдер услуг	https://console.clickhouse.cloud/?connection={organizationid}

4. Соберите эти два элемента и перейдите к Подайте запрос в службу поддержки выше, чтобы завершить процесс:

   • URL единой аутентификации
   • Сертификат

Как это работает

Инициированное провайдером услуги SSO

Мы используем только SSO, инициируемую провайдером услуги. Это означает, что пользователи переходят на https://console.clickhouse.cloud и вводят свой адрес электронной почты, чтобы быть перенаправленными к IdP для аутентификации. Пользователи, уже аутентифицированные через ваш IdP, могут использовать прямую ссылку для автоматического входа в вашу организацию без ввода адреса электронной почты на странице входа.

Назначение ролей пользователей

Пользователи появятся в вашей консоли ClickHouse Cloud после того, как они будут назначены вашему приложению IdP и войдут в систему в первый раз. По крайней мере, один пользователь SSO должен быть назначен роли Admin в вашей организации. Используйте социальный вход или https://console.clickhouse.cloud/?with=email, чтобы войти с вашим первоначальным методом аутентификации, чтобы обновить вашу SSO роль.

Удаление пользователей, не использующих SSO

После того, как вы настроите пользователей SSO и назначите как минимум одного пользователя ролью Admin, администратор может удалить пользователей, использующих другие методы (например, социальную аутентификацию или идентификатор пользователя + пароль). Аутентификация Google продолжит работать после настройки SSO. Пользователи с идентификатором + паролем будут автоматически перенаправлены на SSO на основе домена их электронной почты, если только пользователи не воспользуются https://console.clickhouse.cloud/?with=email.

Управление пользователями

ClickHouse Cloud в настоящее время реализует SAML для SSO. Мы еще не внедрили SCIM для управления пользователями. Это означает, что пользователи SSO должны быть назначены приложению в вашем IdP, чтобы получить доступ к вашей организации ClickHouse Cloud. Пользователи должны войти в ClickHouse Cloud один раз, чтобы появиться в области Users в организации. Когда пользователи удаляются в вашем IdP, они не смогут войти в ClickHouse Cloud, используя SSO. Тем не менее, пользователь SSO все еще будет отображаться в вашей организации, пока администратор не удалит его вручную.

Многопользовательский SSO

ClickHouse Cloud поддерживает многопользовательский SSO, предоставляя отдельное подключение для каждой организации. Используйте прямую ссылку (https://console.clickhouse.cloud/?connection={organizationid}), чтобы войти в каждую соответствующую организацию. Убедитесь, что вы вышли из одной организации перед входом в другую.

Дополнительная информация

Безопасность является нашим высшим приоритетом, когда дело доходит до аутентификации. По этой причине мы приняли несколько решений при реализации SSO, которые необходимо знать.

• Мы обрабатываем только потоки аутентификации, инициируемые провайдером услуги. Пользователи должны перейти на https://console.clickhouse.cloud и ввести адрес электронной почты, чтобы быть перенаправленными к вашему провайдеру удостоверений. Инструкции по добавлению закладочного приложения или ярлыка предоставлены для вашего удобства, чтобы пользователи не забывали URL.

• Все пользователи, назначенные вашему приложению через ваш IdP, должны иметь один и тот же домен электронной почты. Если у вас есть продавцы, подрядчики или консультанты, которым вы хотите предоставить доступ к вашей учетной записи ClickHouse, они должны иметь адрес электронной почты с тем же доменом (например, user@domain.com), что и ваши сотрудники.

• Мы не автоматически связываем SSO и не SSO учетные записи. Вы можете видеть несколько учетных записей для ваших пользователей в списке пользователей ClickHouse, даже если они используют один и тот же адрес электронной почты.