如果在 Vault 中启用了 SSO,是否所有用户都需要使用它?
用户使用登录凭据还是使用 SSO 访问 Vault 取决于为该用户设置的安全策略。您可以配置 Vault,使一些用户使用 SSO,另一些则不使用。如果您将用户帐户授予组织外的人员(例如,广告代理或审计员),此功能非常有用。通过 SAML,您还可以在登录页面上添加身份提供方按钮,以便为用户提供登录选项。
Vault 采取限制来阻止使用 IdP 发起的 SSO 登录的用户提供电子签名。请参阅以下详细信息。
登录的审计跟踪记录会发生什么?
每当用户导航到 Vault 并通过 SSO 自动登录时,该活动都会在审计跟踪中触发新用户登录项。
用户配置文件是否可同时使用 SAML 和 OAuth 2.0/OpenID Connect?
是与用户关联的安全策略可有最多一个 SAML 和一个 OAuth 2.0/OpenID Connect 配置文件。
SAML 常见问题
Vault 是否支持对 SAML 帐户进行双因素或多因素身份验证?
Vault 不支持对单点登录帐户进行双因素或多因素身份验证。用户可以通过其 SAML 身份提供方系统配置双因素或多因素身份验证。
对 Vault 实施 SAML 有多困难?
如果贵公司已通过其他云应用程序部署了 SAML 2.0,则应当不困难。如果您此前没有关于 SAML 和云应用程序的经验,将需要花一些时间建立一般基础设施,并熟悉 SAML 和 IdP 配置。
是否可以使用 SAML 集成 Vault 和 Veeva CRM?
是您可以将 Veeva CRM 组织配置为 SAML IdP,或将同时包含 Veeva CRM 和 Vault 的外部 IdP 用作服务提供商。或者,您也可以使用委托身份验证。
SAML 是否可与 Vault API 共用?
是有关详细信息,请参阅 Vault 开发人员门户。
SAML 支持哪些类型的身份验证?
我们建议您使用基于表单的身份验证。当使用 Kerberos 或 NTLM 身份验证时,有些浏览器和客户端在电子签名任务期间可转发缓存的身份验证会话而不提示用户重新进行身份验证。
SAML 支持哪种类型的 TLS 集成?
我们支持 TLS 1.2。
IdP 和 Vault 之间的会话超时如何交互?
使用 SSO 时,我们建议您为 Vault 和身份提供方配置相同的会话持续时间。如果 Vault 的会话持续时间较长,则 Vault 仅考虑其活动会话,并且在 IdP 会话过期时不会自动注销用户。如果 Vault 的会话持续时间较短,Vault 可能会注销用户,但是浏览器通常将重定向回 IdP,而 IdP 将启动新 Vault 会话或提示用户再次登录。
电子签名如何与 SAML 共用?
我们的电子签名方法会提示用户重新输入其用户名和密码。电子签名可用于使用服务提供商发起的 SAML 模型的 SSO。当 SSO 用户尝试完成电子签名任务时,Vault 会加载身份提供方的登录页面,并要求用户在此处重新验证身份。完成该任务无需在 Vault 中执行其他步骤。
注意:配置身份提供方时,验证对每个 SAML 请求强制进行身份验证的设置已开启。例如,使用 Okta 的“模板 SAML 2.0”时,您必须选中强制身份验证复选框。当使用来自身份提供方的模板时,请确保使用 SAML 2.0 模板。
有些浏览器会阻止用户通过 iFrame 使用其 SAML 身份提供方完成电子签名。您可以启用第三方 cookies 并将 *.veevavault.com 域添加到信任的域列表中,以避免此问题。或者,您可以选中在弹出窗口而非 iFrame 中对 SAML 电子签名进行身份验证复选框,以将电子签名流配置为通过弹出窗口完成。
注意:电子签名身份验证需要服务提供商发起的 SAML 模式。
“在弹出窗口而非 iFrame 中对 SAML 电子签名进行身份验证”设置关闭时,为什么电子签名会打开弹出窗口?
在弹出窗口而非 iFrame 中对 SAML 电子签名进行身份验证设置仅适用于文档电子签名。在对象记录上提供电子签名时,用户始终会看到弹出窗口。
单点登录配置文件与电子签名配置文件之间有什么不同?
单点登录配置文件是 SSO 登录的必需项。电子签名配置文件是可选的项,尤其是用于通过 SAML 对文档和对象记录进行电子签名时。如果在安全策略中未配置电子签名配置文件,则 SSO 登录和电子签名都使用单点登录配置文件。可以将一个单点登录配置文件和一个电子签名配置文件关联到同一个安全策略。
OAuth2.0 / OpenID Connect FAQ
对 Vault 实施 OAuth2 / OIDC 需要哪种基础设施?
Vault 只能通过 PingFederate Authorization Servers 支持 OpenID Connect。Vault 可以使用访问住处发布 Vault 会话 ID。此外,还建议您的客户端和 AS 支持并实施 PKCE。
OAuth2 / OIDC Connect 是否可用于登录到 Vault UI?
不是。目前 OAuth / OIDC 仅可用于 API 级身份验证。有关详细信息,请参阅 Vault 开发人员门户。
当访问令牌过期时我的 Vault 会话 ID 是否过期?
Vault 会话 ID 发布后,它就会采用 Vault 会话持续时间配置,而非 AS 指定的令牌过期时间。这意味着 AS 访问令牌可能比 Vault 会话 ID 过期得更早。当 Vault 会话 ID 过期时,您必须使用 AS 访问令牌请求一个新的。