Anforderungen an den Identitätsanbieter
Änderungen vorschlagen
PDFs
Wenn Sie Unified Manager so konfigurieren, dass ein Identitätsanbieter (IdP) zur Durchführung der SAML-Authentifizierung für alle Remote-Benutzer verwendet wird, müssen Sie einige erforderliche Konfigurationseinstellungen beachten, damit die Verbindung zu Unified Manager erfolgreich ist.
Sie müssen die URI und Metadaten des Unified Managers in den IdP-Server eingeben. Sie können diese Informationen von der SAML-Authentifizierungsseite von Unified Manager kopieren. Unified Manager gilt als Dienstanbieter (SP) im Security Assertion Markup Language (SAML)-Standard.
Unterstützte Verschlüsselungsstandards
-
Advanced Encryption Standard (AES): AES-128 und AES-256
-
Secure Hash Algorithm (SHA): SHA-1 und SHA-256
Validierte Identitätsanbieter
-
Shibboleth
-
Active Directory-Verbunddienste (ADFS)
ADFS-Konfigurationsanforderungen
-
Sie müssen drei Anspruchsregeln in der folgenden Reihenfolge definieren, die für Unified Manager erforderlich sind, um ADFS-SAML-Antworten für diesen Vertrauenseintrag der vertrauenden Seite zu analysieren.
Anspruchsregel Wert SAM-Kontoname
Namens-ID
SAM-Kontoname
urn:oid:0.9.2342.19200300.100.1.1
Tokengruppen – Unqualifizierter Name
urn:oid:1.3.6.1.4.1.5923.1.5.1.1
-
Sie müssen die Authentifizierungsmethode auf „Formularauthentifizierung“ einstellen, da Benutzer sonst beim Abmelden von Unified Manager möglicherweise eine Fehlermeldung erhalten. Gehen Sie folgendermaßen vor:
-
Öffnen Sie die ADFS-Verwaltungskonsole.
-
Klicken Sie in der linken Baumansicht auf den Ordner „Authentifizierungsrichtlinien“.
-
Klicken Sie rechts unter „Aktionen“ auf „Globale primäre Authentifizierungsrichtlinie bearbeiten“.
-
Legen Sie die Intranet-Authentifizierungsmethode auf „Formularauthentifizierung“ statt auf die Standardeinstellung „Windows-Authentifizierung“ fest.
-
-
In einigen Fällen wird die Anmeldung über den IdP abgelehnt, wenn das Sicherheitszertifikat des Unified Managers von einer Zertifizierungsstelle signiert ist. Es gibt zwei Problemumgehungen, um dieses Problem zu beheben:
-
Befolgen Sie die Anweisungen im Link, um die Widerrufsprüfung auf dem ADFS-Server für die mit einem verketteten CA-Zertifikat verbundene vertrauende Partei zu deaktivieren:
-
Lassen Sie den CA-Server innerhalb des ADFS-Servers residieren, um die Zertifikatsanforderung des Unified Manager-Servers zu signieren.
-
Weitere Konfigurationsanforderungen
-
Die Zeitabweichung des Unified Managers ist auf 5 Minuten eingestellt, sodass der Zeitunterschied zwischen dem IdP-Server und dem Unified Manager-Server nicht mehr als 5 Minuten betragen kann, da sonst die Authentifizierung fehlschlägt.