SAML 2.0身份验证

完成以下步骤，将SAML 2.0集成配置为外部身份验证源。此过程涉及同时配置安全控制台(服务提供者)和您选择的单点登录应用程序(身份提供者)。

步骤1:打开SAML源配置窗口

1. 打开安全控制台。
2. 单击政府选项卡。
3. 在“全局和控制台设置”窗口中，单击管理．
4. 在“Security Console Configuration”界面，单击身份验证选项卡。
5. 如果需要，请在提供的字段中指定基本实体URL。

• 使用时，此URL将覆盖初始安全控制台请求自动生成的SP URL。
• 更改此设置需要控制台重新启动。

6. 在“SAML认证源”下，单击配置SAML源按钮。

“SAML配置”窗口将提供SSO URL的模板版本和完整的实体ID。7.此时复制这两个值，因为它们是完成IdP配置所必需的。

第2步：创建IDP应用程序

在一个单独的浏览器窗口中，导航到您想要使用的IdP。以下供应商可获得说明:

• Okta
• 征集
• Active Directory联合服务3.0

Okta

1. 导航到您的Okta管理员仪表板并单击应用程序选项卡。
2. 点击添加应用程序．
3. 点击创建新应用．
4. 指定“Sign on方法”为“SAML 2.0”。点击创建．
5. 如果需要，请为应用程序命名并提供徽标。点击下一个．
6. 在“Single sign on URL”字段中，粘贴从安全控制台复制的模板SSO URL。

7. 在“受众URI (SP实体ID)”字段中，粘贴从安全控制台复制的实体ID。
8. 设置“名称ID格式”为EmailAddress．
9. 设置“应用程序用户名”为电子邮件．
10. 点击下一个．
11. 点击结束．
12. 导航到上签字选项卡的新配置Okta应用程序。
13. 在“设置”下,单击查看设置说明．
14. 滚动到“可选”部分。复制“IDP元数据”字段的内容。

将您的应用程序分配给用户

新配置的Okta应用程序必须分配给用户，用户才能访问它们:

1. 导航到作业OKTA应用程序的标签。
2. 点击分配．
3. 点击指定的人或者分配给团体．
4. 指定谁将有权访问应用程序。

征集

1. 导航到Centrify Admin Portal菜单并单击应用选项卡。
2. 点击添加Web应用程序．
3. 单击自定义选项卡。
4. 滚动到“SAML”应用程序，然后单击添加．点击是的来确认。

“设置”页面

1. 命名和描述应用程序。
2. 如果需要，提供一个标志。

“信任”页面

1. 将“Identity Provider Configuration”设置为元数据．
2. 将“服务提供商配置”设置为手动配置．这个操作将产生额外的字段。
3. 在“断言消费者服务(ACS) URL”字段中，粘贴从安全控制台复制的模板SSO URL。

4. 在“SP实体ID /颁发者/听众”字段中，粘贴从安全控制台复制的实体ID。
5. 将“收件人”字段空白留空，但请检查“与ACS URL”框相同。
6. 设置“nameID格式”emailAddress．
7. 点击保存．
8. 返回“Identity Provider配置”元数据部分，然后单击复制XML．

• 你也可以点击元数据文件下载作为稍后上载安全控制台的替代方法。

“用户访问”页面

1. 点击添加．
2. 指定任何可以访问该应用程序的个人或团体。

“账户映射”页面

1. 点击目录服务领域．
2. 在“目录服务字段名”字段中输入邮件．
3. 点击保存．

您的应用程序现在应该显示“部署”的状态。

Active Directory联合服务3.0

1. 在您的AD FS目录视图中，展开信任关系文件夹。点击依靠派对信托．
2. 在“行动”,单击增加信赖方信任．
3. 点击开始．
4. “选择数据源”

• 选择手动输入有关依赖方的数据．点击下一个．

5. “指定显示名称”

• 向依赖方信托提供显示名称。如果需要，可以在“Notes”字段中添加描述。点击下一个．

6. “选择配置文件”

• 选择广告FS简介．此选项将在其描述中显式列出SAML 2.0协议。点击下一个．

7. “配置证书”

• 此处不需要配置。点击下一个．

8. “配置URL”

• 检查启用对SAML 2.0 WebSSO协议的支持盒子。
• 在“依赖方SAML 2.0单点登录服务URL”字段中，粘贴从安全控制台复制的模板单点登录URL。点击下一个．

9. “配置标识符”

• 在“依赖方信任标识符”字段中，将您从安全控制台复制的实体ID粘贴。点击添加．
• 点击下一个．

10. “现在配置多因素身份验证?”

• 此时不要启用。点击下一个．

11. “选择发行授权规则”

• 选择允许所有用户访问该依赖方．点击下一个．

12. “准备好添加信任”

• 此时，您可以在向导中查看所有配置步骤。点击下一个当准备好了。

13. “完成”

• 确保这一点打开“编辑索赔规则”盒子被检查。点击关闭．

配置索赔规则

“编辑索赔规则”配置窗口应在完成依赖方信任过程后自动显示。如果没有，请选择（或右键单击）您的新依赖方信任，然后单击编辑要求规定．

您需要创建两个索赔规则，以正确配置依赖方信任：

第一条规则：LDAP索赔

1. 在“发布变换规则”选项卡上，单击添加规则．
2. “选择规则类型”

• 选择“发送LDAP属性作为索赔”。单击Next。

3. “配置要求规则”

• 命名规则。
• 设置“属性存储”为活动目录．
• 设置“LDAP属性”为E-Mail-Addresses．
• 设置“外发索赔类型”为电子邮件地址．
• 点击结束．

第二条规则：电子邮件名称

1. 点击添加规则一次。
2. “选择规则类型”

• 选择转换传入的索赔．点击下一个．

3. “配置要求规则”

• 命名规则。
• 设置“传入索赔类型”为电子邮件地址．
• 设置“外发索赔类型”为名字标识．
• 设置“外发名称ID格式”为电子邮件．
• 确保传递所有索赔值被选中。
• 点击结束．

点击应用当您完成配置索赔规则时。

元数据下载

Active Directory联合服务的元数据必须以XML文件的形式从直接链接下载。使用以下模板:

         

          

           
          
         

          

           

            1
           https:// < adfs-hostname > / FederationMetadata / 2007 - 06 / FederationMetadata.xml
          

1. 代替使用适当的值。
2. 打开一个新的浏览器窗口并搜索完整的元数据链接。
3. 成功的连接将自动触发元数据XML文件下载。

步骤3:完成SAML源配置

返回安全控制台中的SAML配置窗口并执行以下步骤：

1. 将上一步复制的IdP元数据粘贴(或通过XML上传)到相应的字段中。点击保存．

2. 最后,单击保存再次确认外部身份验证源。

步骤4:创建用户帐户

定义了外部身份验证源之后，现在必须为用户创建帐户。

1. 单击政府选项卡。
2. 在“用户”窗口，单击创建．所有需要的配置都将在一般的选项卡。
3. 给用户一个名称。

4. 从下拉列表中选择新的SAML身份验证方法。
5. 为您的用户提供全名。
6. 指定新用户的电子邮件地址。

7. 密码字段将被禁用。

8. 确保选中了“启用帐户”框。
9. 点击保存当完成。