Confluence 6 數據中心的 SAML 單點登錄最佳實踐和故障排除

最佳實踐

• SAML 授權僅僅在有限的時間進行校驗。你需要確定運行你的應用的計算機時間與 IdP 的時間是同步的。
• 如果你應用中的用戶和用戶組是通過用戶目錄進行配置的，你通常希望用戶來源目錄和你的 IdP 和 Atlassian 應用使用相同的 LDAP 目錄。用戶需要在用戶目錄支中存在才可以使用 SSO 進行登錄。

故障排除

• 如果你錯誤的配置了 SAML 收取，或者不能登錄到你的 IdP。你可以通過刪除請求來讓你的登錄授權恢復（在你用戶目錄中為一個管理員用戶配置使用一個用戶名和密碼）。

  curl -u admin_user:admin_password -X DELETE http://base-url/product/rest/authconfig/1.0/saml

• 如果授權有錯誤發生，用戶將只能看到基本的錯誤信息。基於安全的考慮，有關錯誤的具體信息將不會顯示，你需要檢查應用程序的日誌來找到錯誤發生的具體原因和問題是什麼。
• 在一些情況下，你可能看到你的 IdP 顯示錯誤信息。在這種情況下，你需要一些 IdP 的診斷工具來確定你的 IdP 的問題，這方面問題的解決 Atlassian 不提供相關的服務。
• 當使用 使用 SAML 為主授權（Use SAML as primary authentication）同時你還有有驗證碼被啟用的話，使用 HTTP 的基本授權（例如在 REST 資源調用）可能將用戶鎖定，如果用戶輸入的錯誤用戶名和密碼信息次數太多的話。在這種情況下，需要一個系統管理進入後台重新設置用戶登錄錯誤次數的計數。

https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Center

推薦閱讀：