身份提供商要求
配置 Unified Manager 来使用身份提供程序(IdP)对所有远程用户执行 SAML 认证时,需要了解一些必需的配置设置,以确保与 Unified Manager 的连接成功。
必须在 IdP 服务器中输入 Unified Manager URI 和元数据。可以从 Unified Manager 的“SAML Authentication(SAML 认证)”页面中拷贝此信息。Unified Manager 在安全断言标记语言(SAML)标准中被视为服务提供程序(SP)。
支持的加密标准
- 高级加密标准(AES):AES-128 和 AES-256
- 安全哈希算法(SHA):SHA-1 和 SHA-256
经过验证的身份提供商
- Shibboleth
- Active Directory 联合身份验证服务(ADFS)
ADFS 配置要求
- 必须按以下顺序定义 Unified Manager 为解析此依赖方信任条目的 ADFS SAML 响应而需要的三条声明规则。
声明规则 值 SAM-account-name 名称 ID SAM-account-name urn:oid:0.9.2342.19200300.100.1.1 令牌组 – 不合格的名称 urn:oid:1.3.6.1.4.1.5923.1.5.1.1 - 必须将认证方法设置为“表单身份验证”,否则用户从 Unified Manager 注销时可能会收到错误消息。请执行以下步骤:
- 打开 ADFS 管理控制台。
- 单击左侧树视图上的“Authentication Policies(认证策略)”文件夹。
- 在右侧的“操作”下,单击“编辑全局主要认证策略”。
- 将 Intranet 认证方法设置为“表单认证”而不是默认的“Windows 认证”。
- 在某些情况下,当 Unified Manager 安全证书是 CA 签名的证书时,通过 IdP 登录将遭到拒绝。可通过两种变通方法来解决此问题:
- 请按照链接中提供的说明为链式 CA 证书关联的依赖方禁用 ADFS 服务器上的吊销检查:
- 让 CA 服务器驻留在 ADFS 服务器内以便对 Unified Manager 服务器证书请求进行签名。
其他配置要求
- Unified Manager 时钟偏差设置为 5 分钟,因此 IdP 服务器与 Unified Manager 服务器之间的时间差不能超过 5 分钟,否则认证将失败。
提供反馈