SAML
将 Gitea 配置为 SAML 2.0 服务提供者
- 导航到
站点管理 > 身份与访问 > 身份验证源
。 - 点击
添加身份验证源
按钮。 - 选择
SAML
作为身份验证类型。
设置
-
身份验证名称
(必填)- 此身份验证源的名称(显示在 Gitea ACS 和元数据 URL 中)
-
SAML NameID 格式
(必填)- 指定如何将身份提供者 (IdP) 用户映射到 Gitea 用户。此选项将是提供者特定的。
-
SAML 绑定
(必填)- 您要使用的 SAML 绑定的类型。目前仅支持 HTTP-Redirect 和 HTTP-Post。
-
图标 URL
(可选)- 要在登录页面上为此身份验证源显示的图标的 URL。
-
身份提供者元数据 URL
(如果设置了 XML 则可选)- IdP 元数据端点的 URL。
- 如果
身份提供者元数据 XML
留空,则必须设置此字段。
-
身份提供者元数据 XML
(如果设置了 URL 则可选)- IdP 元数据端点返回的 XML。
- 如果
身份提供者元数据 URL
留空,则必须设置此字段。
-
[不安全] 跳过断言签名验证
(可选)- 不建议使用此选项,它将禁用 IdP SAML 断言的完整性验证。
-
服务提供者证书
(可选)- 用于签署 SAML 请求的 X.509 格式证书(与
服务提供者私钥
一起)。 - 如果此字段留空,将生成证书。
- 用于签署 SAML 请求的 X.509 格式证书(与
-
服务提供者私钥
(可选)- 用于签署 SAML 请求的 DSA/RSA 私钥(与
服务提供者证书
一起)。 - 如果此字段留空,将生成私钥。
- 用于签署 SAML 请求的 DSA/RSA 私钥(与
-
电子邮件断言密钥
(可选)- 用于 IdP 用户电子邮件的 SAML 断言密钥(取决于提供者配置)。
-
姓名断言密钥
(可选)- 用于 IdP 用户昵称的 SAML 断言密钥(取决于提供者配置)。
-
用户名断言密钥
(可选)- 用于 IdP 用户用户名 的 SAML 断言密钥(取决于提供者配置)。
-
组断言密钥
(可选)- 用于 IdP 用户组名的 SAML 断言密钥(取决于提供者配置)。
-
管理员用户的组断言值
(可选 - 需要上述组断言密钥)- 如果非空,具有相同组断言值的将是管理员用户。
-
限制用户的组断言值
(可选 - 需要上述组断言密钥)- 如果非空,具有相同组断言值的将是限制用户。
-
将断言组映射到组织团队
(可选 - 需要上述组断言密钥)- JSON 映射。应该像
{
"GroupAssertionValue": {
"GiteaOrgName": ["GiteaOrgTeamName1", "GiteaOrgTeamName2"]
}
} -
启用自动注册
(可选)- 如果选中,在首次登录后,相应的用户将在 Gitea 中自动创建。用户的用户名和电子邮件来自断言。
配置 SAML 2.0 身份提供者以使用 Gitea
- 服务提供者断言使用者服务 URL 将类似于:
http(s)://[mydomain]/user/saml/[身份验证名称]/acs
。 - 服务提供者元数据 URL 将类似于:
http(s)://[mydomain]/user/saml/[身份验证名称]/metadata
。