代碼審查Collaborator教程：單點(diǎn)登錄——通過SAML配置單點(diǎn)登錄（下）

Collaborator是一款功能全面的代碼審查工具。代碼審查可以為開發(fā)測試人員和管理者提供幫助，生產(chǎn)出高質(zhì)量的代碼。團(tuán)隊(duì)可以用它在一個(gè)透明、共同的框架中進(jìn)行同行代碼審查、用戶示例和測試計(jì)劃的編輯。喜歡的朋友可以下載Collaborator試一試哦~

本篇文章介紹如何使用安全聲明標(biāo)記語言（SAML）協(xié)議在SSO服務(wù)器和Collaborator之間建立單點(diǎn)登錄。由于這一教程內(nèi)容較多，前一篇文章介紹了上半部分的內(nèi)容（點(diǎn)擊這里查看），現(xiàn)在是后面部分內(nèi)容~

配置Collaborator服務(wù)器

1、在瀏覽器中打開Collaborator登錄頁面，以管理員身份登錄Collaborator。

2、在Collaborator中，轉(zhuǎn)到管理員>單點(diǎn)登錄。

3、在New SSO Configuration部分中，選擇SAML SSO配置類型，然后單擊Create。這將顯示配置設(shè)置。

4、指定設(shè)置值：

5、指定值后，單擊“保存”。這將創(chuàng)建SAML SSO配置。

6、如果您有多個(gè)配置，請按“激活”將當(dāng)前配置標(biāo)記為活動(dòng)。

7、將Admin>?單點(diǎn)登錄屏幕滾動(dòng)到單點(diǎn)登錄（SSO）狀態(tài)部分，然后將Enable單點(diǎn)登錄設(shè)置更改為Yes。

現(xiàn)在，Collaborator和單點(diǎn)登錄服務(wù)器之間的集成已配置并正在運(yùn)行。登錄服務(wù)器將處理進(jìn)一步登錄Collaborator服務(wù)器的嘗試。

將用戶組成員資格與LDAP / Active Directory同步

使用單點(diǎn)登錄服務(wù)器管理用戶時(shí)，您還可以在Collaborator和LDAP目錄或活動(dòng)目錄之間配置用戶和組同步。在這種情況下，Collaborator將執(zhí)行以下操作：

1、用戶登錄時(shí)，登錄服務(wù)器會發(fā)送帶有一些預(yù)配置參數(shù)的SAML響應(yīng)。

2、Collaborator接收響應(yīng)，提取保存LDAP用戶名的參數(shù)，并將此用戶名發(fā)送到LDAP目錄或活動(dòng)目錄。

3、LDAP目錄或活動(dòng)目錄搜索此用戶所屬的組，并將其返回到Collaborator

4、Collaborator檢查指定的用戶和組是否存在，如果需要?jiǎng)t創(chuàng)建它們，并將用戶添加到組中。

5、Collaborator服務(wù)器將用戶登錄。

LDAP / AD同步的配置

要通過LDAP或活動(dòng)目錄啟用組成員資格的同步，您需要執(zhí)行以下操作：

1、在用戶信息部分中選擇/創(chuàng)建SAML斷言參數(shù)，用于存儲用戶的用戶名。這可以是任何現(xiàn)有參數(shù)，如NameID、FirstName或LastName，或某些專用參數(shù)。

2、修改Collaborator服務(wù)器的Root.xml（<Collaborator Server> /tomcat/conf/Catalina/localhost/ROOT.xml）以使用Combined Realm元素：

<Realm?className="org.apache.catalina.realm.CombinedRealm"?>
??<Realm?allRolesMode="strictAuthOnly"
????className="org.apache.catalina.realm.DataSourceRealm"
????dataSourceName="/jdbc/collabserver"
????localDataSource="true"
????roleNameCol="user_admin"
????userCredCol="user_password"
????userNameCol="user_login"
????userRoleTable="user"
????userTable="user">
???<CredentialHandler
????className="org.apache.catalina.realm.MessageDigestCredentialHandler"
????algorithm="md5"
???/>
</Realm>

<Realm?allRolesMode="strictAuthOnly"
????className="org.apache.catalina.realm.JNDIRealm"
????connectionURL="ldap://ldap.example.com:389"
????userPattern="uid={0},dc=example,dc=com"
????roleBase="dc=example,dc=com"
????roleSearch="(&(objectClass=groupOfUniqueNames)(uniqueMember={0}))"
????connectionName="cn=read-only-admin,dc=example,dc=com"
????connectionPassword="password"
??/>
</Realm>

roleSearch上面的參數(shù)定義了用于標(biāo)識組中用戶成員身份的模式。它使用標(biāo)準(zhǔn)的LDAP查詢格式語法。

3、驗(yàn)證collaborator-authentication參數(shù)是否與常規(guī)身份驗(yàn)證一樣為真：

<Parameter?description="Is?the?Collaborator?database?used?for?authentication?"?name="collaborator-authentication"?override="false"?value="true"/>

4、在ADMIN> General> SSO選項(xiàng)卡頁面中，將Enable LDAP查找設(shè)置為“Yes”，并在Username參數(shù)字段中指定包含LDAP用戶名的SAML斷言參數(shù)的名稱。

LDAP / AD同步的技術(shù)細(xì)節(jié)

對于映射組中的用戶成員身份，Collaborator使用從LDAP或AD檢索的組的完全限定域名（FQDN）。它會檢查某些現(xiàn)有用戶組是否具有匹配的FQDN，并在成功時(shí)將用戶添加到該組。否則，它會創(chuàng)建一個(gè)新組并將用戶添加到新組。

要命名新組，Collaborator使用組的完全限定域名（FQDN）的第一個(gè)條目。例如，具有“ ou=ccusers,dc=example,dc=com”FQDN 的組將具有ccusers標(biāo)題。如果某個(gè)其他組已經(jīng)具有相同的標(biāo)題，則Collaborator會將序號附加到組標(biāo)題：ccusers1、ccusers2依此類推。

每次登錄時(shí)，Collaborator都會檢查通過LDAP或Active Directory同步創(chuàng)建的現(xiàn)有組，并實(shí)現(xiàn)這些組中的用戶成員身份。此類算法允許在Collaborator和LDAP或Active Directory之間保持一致性。

故障排除

如果您遇到單點(diǎn)登錄身份驗(yàn)證問題而無法登錄Collaborator服務(wù)器（錯(cuò)誤的重定向URL、無法以管理員身份登錄等），則可以通過-Dcom.smartbear.server.sso.disable=true Java VM選項(xiàng)禁用SAML單點(diǎn)登錄身份驗(yàn)證。

OneLogin服務(wù)器的已知問題

當(dāng)用戶從OneLogin服務(wù)器注銷時(shí)，他們?nèi)匀槐３值卿汣ollaborator服務(wù)器。出于某種原因，當(dāng)用戶直接從OneLogin服務(wù)器注銷時(shí)，OneLogin服務(wù)器不會觸發(fā)Collaborator SLO端點(diǎn)。但是，當(dāng)用戶從Collaborator服務(wù)器注銷時(shí)，它們將從Collaborator服務(wù)器和OneLogin服務(wù)器注銷。

通過SAML配置單點(diǎn)登錄教程現(xiàn)在結(jié)束了，其他單點(diǎn)登錄教程請關(guān)注后續(xù)內(nèi)容~