跳转到主要内容
在 Vantage 中为租户身份验证配置 OAuth 2.0 或 SAML 2.0 外部身份提供程序。
如果您设置了外部身份提供程序,则资源所有者密码凭据 (Resource Owner Password Credentials) 身份验证流程将无法使用。
要在 Vantage 中为租户设置外部身份提供程序,请按以下步骤操作:
  1. 配置外部身份提供程序 (配置 OAuth 2.0 外部身份提供程序配置 SAML 2.0 外部身份提供程序) 。准备好上述章节中所述的外部身份验证参数。
  2. 测试 已配置的外部身份验证。
  3. 在 ABBYY Vantage 中,单击左侧窗格中的 Configuration 选项卡。
  4. 单击 Identity Provider 并选择 External Identity Provider
  5. 在下拉列表中,选择所需的协议 (OAuthSAML 选项) 。

配置 OAuth 2.0 外部 Identity Provider

填写 Identity ProviderIdentity Provider URLClient ID 字段。您还可以为租户用户设置电子邮件地址域,该域将与您的租户关联。 Identity Provider OAuth 配置 要与除 Active Directory 或 Azure Active Directory Identity Provider 之外的外部 Identity Provider 建立安全连接,可能需要提供客户端密钥。如果是这种情况,请在 Identity Provider 字段中选择 Other,并在 Client Secret 字段中输入您的客户端密钥。 
字段描述
Identity Provider指定通过 Active Directory 或 Azure Active Directory Identity Provider 进行登录身份验证。
Identity Provider URLIdentity Provider 的 URL。
该 URL 可在 Azure 门户中您为身份验证而注册的应用程序的 Endpoints 部分找到。
Client ID已配置的 Active Directory 或 Azure Active Directory Identity Provider 的客户端标识符。
Associated Email Domains租户用户的关联电子邮件地址域,这些用户即使尚未拥有 Vantage 帐户,也仍然可以登录此租户。有关详细信息,请参见 关联电子邮件域

设置 SAML 2.0 外部身份提供程序

填写 Federation Metadata Document URL 字段。您还可以为租户用户设置电子邮件地址域名,该域名将与您的租户关联。
字段描述
Federation Metadata Document URL指定通过 Active Directory 或 Azure Active Directory 身份提供程序进行登录身份验证。
Application ID URI指定 Azure Active Directory 身份提供程序的自定义 URI。此字段为可选项。如果留空,则会使用已废弃的 ID api://platform.abbyy.cloud/{tenantId}
其中 tenantId 是 Vantage 租户标识符,采用不带连字符的 GUID 格式 (例如 117489fc1aea41658369d4d18d6557ga) 。
Associated Email Domains为应当能够登录到租户的租户用户指定关联的电子邮件地址域名,即使他们尚未拥有 Vantage 帐户。更多信息,请参阅 关联的电子邮件域
  1. 单击 Apply Changes
注意: 如果要重置或恢复为 Vantage 身份提供程序,您始终可以在此页面上选择 Vantage 并单击 Apply Changes。这适用于用户当前会话 (访问令牌) 尚未过期的情况。如果会话已过期,则需要通过已配置的外部身份提供程序进行身份验证,才能访问租户。在这种情况下,请联系系统管理员。

为新用户设置默认角色

您可以为通过外部身份提供程序自动创建的用户配置默认角色。   要在 ABBYY Vantage 中为新用户设置默认角色,请执行以下步骤:  
  1. 在 ABBYY Vantage 中,单击左侧窗格中的 Configuration 选项卡。  
  2. 单击 Identity Provider,并选择 External Identity Provider。  
  3. 在下拉列表中,找到 Default Role for New Users。  
  4. 选择一个或多个角色,以自动分配给租户中新创建的所有用户。  
  5. 单击 Apply Changes。  
注意
  • 所选角色将自动应用于租户中新创建的所有用户。  
  • 对于每个所选角色,Allow all for current and further skills 开关默认处于启用状态。这会在初始配置中为用户授予对所有技能的访问权限。管理员可以随时在 Users 配置界面中修改这些权限。  
  • 要了解有关可用角色和权限的更多信息,请参阅使用外部身份提供程序进行身份验证。 

在不使用 XML 文件 URL 的情况下配置 SAML 2.0 外部身份提供程序

您可以通过将 XML 元数据文件的内容复制到 Vantage API 请求中,来配置 Vantage 使用 SAML 2.0 外部身份提供程序。XML 文件的内容应包含与支持 SAML 的身份提供程序交互所需的信息。 要通过 Vantage API 配置 SAML 2.0 外部身份提供程序,请执行以下操作:
  1. 在 Vantage API 中完成身份验证 (详细信息请参阅 Authentication 文档) 。
  2. https://<your-vantage-url>/api/adminapi2/v1/tenants/<tenantId>/external-providers/ 发送带有 Authorization = Bearer <access token> 头的 PUT 请求,并在请求正文中提供以下参数:
ParameterDescription
kind使用的协议。该参数的值为 Saml2
settings.Metadata您的 XML 元数据文件的内容。
示例请求: 
curl --location --request PUT "https://<your-vantage-url>/api/adminapi2/v1/tenants/<tenantId>/external-providers/"
-H "Authorization: Bearer <token>"
{
  "providerSettings": {
    "kind": "Saml2",
    "settings": {
      "Metadata": "<SAML XML file contents>"
    }
  }
}

curl --location --request PUT 'https://<your-vantage-url>/api/adminapi2/v1/tenants/<tenant-id>/external-providers/'
-H 'Authorization: Bearer <token>'
{
  'providerSettings': {
    'kind': 'Saml2',
    'settings': {
      'Metadata': '<SAML XML file contents>'
    }
  }
}