Chuyển đến nội dung chính
Single Sign-On cho phép nhóm của bạn xác thực vào CloudThinker bằng nhà cung cấp danh tính hiện có — không cần mật khẩu riêng, tự động cấp phép người dùng và hủy cấp phép tập trung khi ai đó rời đi.
SSO khả dụng trên gói Scale, Scale +Enterprise. Để bắt đầu, điều hướng đến Organization Settings → Security → SSO và nhấp Add Connection.

Cách hoạt động của trình hướng dẫn thiết lập

Trình hướng dẫn SSO có ba bước: Giao thức → SP Metadata → Cấu hình IdP.
  1. Giao thức — Chọn SAML 2.0 hoặc OIDC
  2. SP Metadata — Sao chép các giá trị của CloudThinker vào IdP khi tạo ứng dụng SAML
  3. Cấu hình IdP — Dán các giá trị của IdP trở lại vào CloudThinker
Sử dụng các tab bên dưới để theo dõi các bước chính xác cho nhà cung cấp danh tính của bạn.

Thiết lập SAML

Google Workspace — Thiết lập SAML

1

Mở Google Admin Console

Truy cập admin.google.comApps → Web and mobile apps → Add app → Add custom SAML app.
2

Đặt tên ứng dụng

Đặt tên là CloudThinker và nhấp Continue.
3

Tải xuống siêu dữ liệu IdP

Trên màn hình Google IdP information, tải xuống IdP metadata XML hoặc ghi lại:
  • SSO URL (Single Sign-On URL)
  • Entity ID (https://accounts.google.com/o/saml2?idpid=...)
  • Certificate (tải xuống chứng chỉ X.509)
Nhấp Continue.
4

Nhập thông tin SP CloudThinker

Sao chép các giá trị từ CloudThinker → Settings → Security → SSO → SP Metadata:
Trường GoogleGiá trị CloudThinker
ACS URLDán ACS URL từ CloudThinker
Entity IDDán SP Entity ID từ CloudThinker
Name ID formatEMAIL
Name IDBasic Information > Primary email
Nhấp Continue.
5

Cấu hình ánh xạ thuộc tính

Thêm các ánh xạ thuộc tính sau:
Thuộc tính Google DirectoryThuộc tính ứng dụng
Primary emailemail
First namefirstName
Last namelastName
Nhấp Finish.
6

Bật ứng dụng

Trong cài đặt ứng dụng, đặt quyền truy cập thành On for everyone (hoặc nhắm đến các đơn vị tổ chức cụ thể).
7

Hoàn tất thiết lập trong CloudThinker

Quay lại trình hướng dẫn SSO của CloudThinker, dán vào:
  • Entity ID từ Google
  • SSO URL từ Google
  • Certificate (dán nội dung chứng chỉ X.509)
Nhấp Create Connection rồi Test để xác minh.
Dùng trường Import trong CloudThinker để dán URL siêu dữ liệu IdP Google — tính năng này tự động điền Entity ID, SSO URL và Certificate chỉ trong một bước.

Thiết lập OIDC

Google Workspace — Thiết lập OIDC

1

Tạo OAuth Client

Vào console.cloud.google.comAPIs & Services → Credentials → Create Credentials → OAuth 2.0 Client ID.Loại ứng dụng: Web application.
2

Thêm Authorized Redirect URI

Thêm Redirect URI từ OIDC SP Metadata của CloudThinker. Nhấp Create.
3

Sao chép thông tin xác thực

Sao chép Client IDClient Secret.
4

Hoàn tất thiết lập trong CloudThinker

Trong cấu hình OIDC của CloudThinker:
  • Discovery URL: https://accounts.google.com/.well-known/openid-configuration
  • Client ID: dán từ Google
  • Client Secret: dán từ Google
Nhấp Create ConnectionTest.

Sau khi thiết lập

Kiểm tra kết nối

Luôn kiểm tra trước khi bắt buộc SSO:
  1. Nhấp Test trong cài đặt kết nối SSO
  2. Một tab trình duyệt mới mở ra và thử xác thực
  3. Xác nhận bạn được chuyển hướng thành công về CloudThinker
  4. Kiểm tra thuộc tính người dùng (tên, email) đã được nhận đúng

Bắt buộc SSO (tùy chọn)

Sau khi xác minh, bạn có thể yêu cầu tất cả người dùng xác thực qua SSO:
  1. Vào Organization Settings → Security → SSO
  2. Bật Enforce SSO
  3. Người dùng sẽ được chuyển hướng đến IdP khi đăng nhập tiếp theo — đăng nhập bằng email/mật khẩu bị tắt
Đảm bảo ít nhất một tài khoản Owner hoạt động được với SSO trước khi bắt buộc. Nếu SSO bị lỗi sau khi bắt buộc, Owner có phương thức truy cập dự phòng có thể tắt nó.

Cấp phép người dùng

CloudThinker tự động cấp phép người dùng khi đăng nhập SSO lần đầu bằng các thuộc tính email, firstNamelastName từ IdP. Người dùng mới được gán vai trò Developer theo mặc định — bạn có thể thay đổi điều này trong cài đặt SSO.

Khắc phục sự cố

Kiểm tra lại ACS URL bạn đã nhập trong IdP khớp chính xác với những gì CloudThinker hiển thị — bao gồm giao thức (https://) và không có dấu gạch chéo ở cuối.
Xác nhận IdP đang gửi thuộc tính firstNamelastName. Xem bảng ánh xạ thuộc tính cho nhà cung cấp của bạn ở trên.
Đảm bảo bạn đã sao chép toàn bộ chứng chỉ X.509 bao gồm cả header -----BEGIN CERTIFICATE----------END CERTIFICATE-----. Nếu IdP đã xoay vòng chứng chỉ, hãy cập nhật nó trong cài đặt SSO của CloudThinker.
Một Owner có thể tắt bắt buộc SSO tại Organization Settings → Security → SSO bằng thông tin xác thực dự phòng. Kiểm tra ứng dụng IdP đã được gán cho tất cả người dùng bị ảnh hưởng.
SP Entity ID trong IdP phải khớp chính xác với SP Entity ID hiển thị trong SP Metadata của CloudThinker — phân biệt chữ hoa/thường.

Bước tiếp theo

Thiết lập MFA

Thêm MFA dựa trên TOTP để có thêm một lớp xác thực

Kiểm soát truy cập dựa trên vai trò

Cấu hình quyền chi tiết cho các thành viên nhóm

Cài đặt tổ chức

Quản lý thành viên, workspace và cấu hình cấp tổ chức

BYOK

Dùng thông tin xác thực AWS Bedrock của riêng bạn để kiểm soát lưu trú dữ liệu và chi phí