Okta 身份验证模块

Okta 身份验证模块允许用户使用 Okta 凭据登录到 IDE Services Cloud。

Okta 支持两种用于处理联合单点登录的协议，这两种协议在 IDE Services Cloud 中均受支持用于身份验证。

Okta 身份验证模块支持 OpenID Connect (OIDC) 协议。该模块的设置已预先配置以支持与 Okta 服务的直接连接。使用该模块时，您需要在 Okta 中将 IDE Services Cloud 注册为客户端应用程序。
SAML 2.0 验证模块支持 SAML 协议。该模块的设置已预先配置用于与各种 SAML 提供商进行通用连接。需要对 Okta 的 SAML 身份验证进行额外配置。

您选择的协议主要取决于您的使用场景，但通常建议新集成使用 OIDC。

启用 Okta 身份验证

若要允许现有 Okta 账户的用户登录到 IDE Services Cloud，请配置并启用 Okta 身份验证模块。

要创建 Okta 身份验证模块：

在 Administration (行政) 菜单的 Access Management (权限管理) 部分，选择 Auth Modules (验证模块)。
点击 New module (新模块) 按钮。
- Select an identity provider (选择身份提供商) 对话框将打开。
在 Select an identity provider (选择身份提供商) 对话框中，选择 Okta。
- Configure Login with Okta (配置使用 Okta 登录) 向导将打开。
指定组织的 Okta domain (Okta 域名) ，然后点击 Next (下一个)。
复制生成的重定向 URI。
按照向导中的说明，在 Okta 中创建 IDE Services Cloud 应用集成并注册重定向 URI。
有关更多信息，请参阅 Okta 帮助中心。
从 Okta 复制 Client ID (客户端 ID) 和 Client Secret (客户端密钥) ，分别粘贴到 IDE Services Cloud 中的 Client ID (客户端 ID) 和 Client secret (客户端密钥) 字段。
点击 Finish (完成)。
- Auth Modules (验证模块) 页面显示新的 Okta 身份验证模块的设置。

要完成设置：

配置该身份验证模块的可选设置。如需详细信息，请参阅其他设置。
点击 Save (保存) 按钮以应用设置。
点击 Enable (启用) 按钮。
- Okta 身份验证模块已启用。
- Okta 图标已添加到登录对话框窗口。用户可以点击该图标，使用 Okta 凭据登录到 IDE Services Cloud。

设置

在设置页面的顶部，您可以找到关于该身份验证模块的一般信息，包括其名称和 Okta 域名。

设置	描述
名称	存储身份验证模块的名称。使用此设置区分此模块和 Auth Modules (验证模块) 列表中的其他身份验证模块。您可以通过 Rename (重命名) 操作更改身份验证模块的名称。有关详细信息，请参阅操作。
领域	显示 Okta 服务的 Web 域名。
导入到 IDE Services Cloud 的帐户	显示已导入到 IDE Services Cloud 安装中的 Okta 用户数量。
在 Okta 中发现的用户帐户	显示 IDE Services Cloud 在 Okta 中找到的用户帐户数量。
上次同步	显示 IDE Services Cloud 与 Okta 之间同步用户帐户和群组的最后时间。

在 General Settings (常规设置) 标签页，您可以找到该身份验证模块的常规设置。其中包括您用于在授权服务中注册 IDE Services Cloud 的重定向 URI 以及存储 Client ID (客户端 ID) 和 Client Secret (客户端密钥) 的输入字段。

设置	描述
重定向 URI	显示用于在授权服务中注册到 IDE Services Cloud 连接的授权重定向 URI。
客户端 ID	存储授权服务用于验证登录请求的标识符。您在配置 Web 应用的授权设置并输入授权重定向 URI 时，在授权服务中生成该值。
客户端密钥	存储用于验证客户端 ID 的密钥或密码。您与客户端 ID 一起在授权服务中生成此值。
默认	将当前身份验证模块设置为默认。
API 令牌	存储用于授权访问 Okta API 的访问令牌，它是定期同步用户帐户和群组所必需的。 Okta API 令牌颁发给特定用户，所有使用该令牌的请求都以该用户的身份进行。因此，您应仅为在目录服务中具有合适访问级别的用户帐户生成 API 令牌。关于如何在 Okta 中创建 API 令牌，请参阅 Okta 文档。

用户与群组

Users & Groups (用户和用户小组) 标签页的设置允许您设置 IDE Services Cloud 与 Okta 之间用户帐户和群组数据的同步。

启用同步后，对 Okta 配置文件的更改将定期同步到 IDE Services Cloud。该同步是在用户使用 Okta 账户凭据登录 IDE Services Cloud 或连接服务时自动发送的同步请求之外执行的。

计划同步不会替代用户在用 Okta 账户登录时自动执行的群组成员身份同步。但是，这两种同步方案使用不同的来源。

计划同步使用 Okta API。该 API 引用直接存储在 Okta 用户配置文件中的属性。
登录期间的同步是通过用于连接 Okta 和 IDE Services Cloud 的 OAuth 2.0 应用处理的。应用可用的属性也是从 Okta 用户配置文件中映射的，但可以指定不同名称。

这导致自定义属性的值在用户登录 IDE Services Cloud 时被设定，但在计划同步过程中会被清空。

为确保这些值保持同步，Okta 配置文件中分配给属性的变量名必须与分配给在 IDE Services Cloud 中注册的 Okta 应用中用户配置文件的属性名完全一致。

如需进一步帮助，请联系 IDE Services Cloud 客服团队。

设置	描述
已选群组	允许您选择将从 Okta 同步到 IDE Services Cloud 的用户群组。
选择所有群组	启用将 Okta 中找到的所有群组同步到 IDE Services Cloud。
计划同步	决定与 Okta 同步用户属性和群组成员关系的频率。启用该设置后，您可以从三个预定义间隔中选择一个：每小时每 3 小时每天早晨 9 点您也可以随时点击顶部的 Sync users and groups now (立即同步用户和用户小组) 按钮手动启动同步。禁用该设置时，群组成员关系仍会在用户登录时按用户同步。只有当身份验证模块为 Enabled (启用) 状态时，同步功能才会激活。

设置

描述

已选群组

允许您选择将从 Okta 同步到 IDE Services Cloud 的用户群组。

选择所有群组

启用将 Okta 中找到的所有群组同步到 IDE Services Cloud。

计划同步

决定与 Okta 同步用户属性和群组成员关系的频率。

启用该设置后，您可以从三个预定义间隔中选择一个：

每小时
每 3 小时
每天早晨 9 点

您也可以随时点击顶部的 Sync users and groups now (立即同步用户和用户小组) 按钮手动启动同步。

禁用该设置时，群组成员关系仍会在用户登录时按用户同步。

只有当身份验证模块为 Enabled (启用) 状态时，同步功能才会激活。

用户同步统计

User Sync Statistics (用户同步统计数据) 标签页显示了 IDE Services Cloud 和 Okta 之间用户帐户与群组同步的统计数据。

群组映射

如果 Okta 未配置 API 访问，您可以手动在 IDE Services Cloud 中提供 Okta 群组名称。

配置群组映射后，IDE Services Cloud 会在用户用目录服务中管理的帐号登录时检查 Okta 群组成员关系。对于每个已映射到 IDE Services Cloud 群组的 Okta 群组，IDE Services Cloud 执行以下操作：

属于已映射 Okta 群组但不属于已映射 IDE Services Cloud 群组的用户会被添加到 IDE Services Cloud 的该群组中。
不属于已映射 Okta 群组但属于已映射 IDE Services Cloud 群组的用户会从 IDE Services Cloud 的该群组中移除。

在授权服务中对群组成员关系的变更，仅在用户使用 Okta 帐号登录时在 IDE Services Cloud 中生效。

将 Okta 中的群组映射到 IDE Services Cloud 中的群组：

打开您的 Okta 身份验证模块。
选择 Users & Groups (用户和用户小组) 标签页。
点击 Add group by name (按名称添加用户小组) 按钮。
在指定的字段输入 Okta 群组名称。
点击 Save (保存) 按钮。
- 指定的群组已添加到 IDE Services Cloud。
- 点击群组名称会跳转到 Groups | <Your Group Name> (用户小组 | <您的用户小组名称>) 页面
重复步骤 3 到 5，直到您映射完所有需要的群组。

SCIM 预置

Hub 支持 SCIM 2.0 进行用户与群组同步。然而，对于使用 OIDC 登录方式创建的应用，SCIM 预置不受支持。这意味着，如果您通过 OpenID Connect (OIDC) 用于身份验证集成 Hub 与 Okta，则 Okta 无法通过其预置标签直接支持 SCIM 预置。

由于 Okta 不允许对使用 OIDC 登录方式创建的应用启用预置功能，因此您需要改用 API 进行同步。

使用以下信息连接外部身份预置工具：

您的 Hub 安装的 SCIM endpoint URL (SCIM 端点 URL)。此端点为：
<hub-base-url>/api/rest/scim2
要定位您的 Hub 站点基本 URL，请参阅 Hub 服务 Services (服务) 页的 Settings (设置) 标签页。若 Base URLs (基本 URL) 设置为空，请使用 Home URL (主页 URL)。更多信息请参见 https://www.jetbrains.com.cn/help/hub/configuring-service-settings.html#ServiceSettings。
身份验证时请使用永久令牌。如何为您的 Hub 账户生成永久令牌，请参阅 https://www.jetbrains.com.cn/help/hub/manage-permanent-tokens.html。

要检查您的 Hub 安装是否支持 SCIM，请访问以下网址：

<hub-base-url>/api/rest/scim2/Schemas

作为解决方法，您可以通过在 Okta 创建单独的 SAML 应用来启用预置。此应用仅用于预置目的。这样做是因为 SCIM 独立于身份验证流程运行。

要通过 SAML 应用启用 SCIM 预置：

在 Okta 管理控制台，转到 Applications > Create App Integration (应用程序 > 创建应用集成)。
对于登录方式，选择 SAML 2.0。
为应用命名并继续填写占位符 SAML 设置（这些设置不会被实际使用），然后创建应用。
创建应用后，切换到 Provisioning (正在预置) 标签页。

选择 Integration > Edit (集成 > 编辑) ，然后为以下设置输入值：

设置	值
SCIM 连接器基本 URL	Hub 安装的 SCIM 端点。此端点的格式为 `<hub-base-url>/api/rest/scim2` ，其中 `base-url` 可以是以下之一： https://www.mycompany.com/hub https://hub.mycompany.com/
用户唯一标识字段	userName
支持的预置操作	启用以下选项：推送新用户推送个人资料更新推送群组
身份验证模式	HTTP 标头
HTTP 标头 \| Authorization	为您的 Hub 账户生成的永久令牌。要了解如何在 Hub 中生成永久令牌，请参阅 https://www.jetbrains.com.cn/help/hub/manage-permanent-tokens.html

此配置中的预置选项支持以下行为：

选项	描述
推送新用户	当用户被分配到 SAML 应用程序时，自动将其预置到 Hub。
推送个人资料更新	每当在 Okta 中应用更新时，会同步更新 Hub 中的用户资料数据。被禁用的用户帐户将在 Hub 内被禁用。被禁用的用户帐户将在 Hub 内被禁用。
推送群组	在 Hub 中创建群组并将分配给 SAML 应用程序的用户添加到这些群组中。为避免冲突问题，请在同步已存在于 Hub 中的群组时，使用 Link Group (关联用户小组) 选项，并为新群组使用 Create group (创建用户小组) 设置。

其他设置

Additional settings (其他设置) 选项卡上的设置可让您管理账户创建和群组成员资格，并减少空闲连接造成的资源损耗。

选项	描述
帐户状态	确定当在 Okta 中删除或停用具有相应凭据的帐户时，IDE Services Cloud 中的帐户是否会被禁用。设置为 Ignore (忽略) 时，Okta 中的账号状态更改不会应用到 IDE Services Cloud 中的账号。设置为 Forward (前进) 时，在 Okta 中被删除或停用的帐户会在 IDE Services Cloud 中被禁用。
用户创建	为通过连接的授权服务登录且未注册的用户启用 IDE Services Cloud 帐户创建。IDE Services Cloud 会使用电子邮件地址来判断用户是否已有帐户。 IDE Services Cloud 会使用电子邮件地址来判断用户是否已有帐户。
扩展授权类型	保存用于在扩展授权中标识身份验证模块的值。如果提供了值，IDE Services Cloud 将处理将授权服务颁发的访问令牌交换为 IDE Services Cloud 访问令牌的请求。要成功交换访问令牌，身份验证模块必须在第三方身份验证服务中获得授权，并在 IDE Services Cloud 中启用。要了解如何使用 IDE Services Cloud REST API 交换访问令牌，请参阅扩展授权。
自动加入组	用户使用连接的授权服务中的账号登录时，会被添加到群组中。您可以选择一个或多个群组。自动加入群组的新用户将继承该群组分配的所有权限。建议您至少将用户添加到一个群组。否则，新用户仅分配给 All Users (所有用户) 群组所拥有的权限。
连接超时	设置建立与授权服务连接的等待时间。默认设置为 5000 毫秒（5 秒）。
读取超时	设置从授权服务读取和获取用户资料数据的等待时间。默认设置为 5000 毫秒（5 秒）。
对 Okta 所做的更改	链接到 IDE Services Cloud 中的 Audit Events (审核事件) 页面。在此页面，您可以查看已应用于此身份验证模块的变更列表。

字段映射

当 Okta 返回用户资料响应对象时，指定字段路径中的值将被复制到 IDE Services Cloud 中的用户资料。请在页面的 Field Mapping (字段映射) 部分中，定义用于定位已认证用户资料数据的端点，并将授权服务中存储的字段映射到 IDE Services Cloud 用户账号。

对于预定义的 Okta 模块， User ID (用户 ID)、 Email (电子邮件)、 Email verification state (电子邮件验证状态)、 Full name (全名) 和 Groups (分组) 会自动同步。这些字段名称由 Okta 预定义且不可修改，因此与 IDE Services Cloud 对应字段的映射是硬编码的，相关设置不会显示。

您只会看到已经添加到 IDE Services Cloud 用户资料的自定义属性的映射设置。每个自定义属性都会以名称列出，并有输入字段用于存储授权服务中对应字段的名称。

要了解有关用户资料自定义属性的更多信息，请参阅管理自定义属性。

要指定嵌套对象字段的路径，请输入由斜杠字符（/ ）分隔的一系列片段。
要引用可能存储在多个位置的值，请使用"Elvis 运算符"(?: )作为多路径的分隔符。启用此选项后，IDE Services Cloud 会使用指定字段中遇到的第一个非空值。

操作

页眉中可用以下操作：

操作	描述
测试登录	允许您输入用户名和密码以测试与认证服务的连接。
立即同步	启动 Okta 与 IDE Services Cloud 间的用户和群组同步。您可以在 Users & Groups (用户和用户小组) 选项卡中配置在 IDE Services Cloud 中使用哪些 Okta 群组。
启用	启用身份验证模块。仅当当前身份验证模块被禁用时才显示此选项。
禁用	禁用身份验证模块。仅当当前身份验证模块已启用时才显示此选项。
重命名	允许您更新现有身份验证模块名称和更改其默认图标。您可以在 More options (更多选项) （... ）菜单中找到此操作。
删除	从 IDE Services Cloud 移除身份验证模块。仅在您已配置允许用户登录 IDE Services Cloud 的其他身份验证模块时方可使用该选项。您可以在 More options (更多选项) （... ）菜单中找到此操作。

2026年 3月 16日