Anforderungen an Identitätsanbieter
Änderungen vorschlagen
PDFs
Wenn Sie Unified Manager für die Verwendung eines Identitäts-Providers (IdP) konfigurieren, um die SAML-Authentifizierung für alle Remote-Benutzer durchzuführen, müssen Sie einige erforderliche Konfigurationseinstellungen beachten, damit die Verbindung zu Unified Manager erfolgreich hergestellt wird.
Sie müssen die Unified Manager-URI und die Metadaten im IdP-Server eingeben. Sie können diese Informationen von der Seite Unified ManagerSAML Authentication kopieren. Unified Manager gilt im SAML-Standard (Security Assertion Markup Language) als Service Provider (SP).
Unterstützte Verschlüsselungsstandards
-
Advanced Encryption Standard (AES): AES-128 und AES-256
-
Sicherer Hash-Algorithmus (SHA): SHA-1 und SHA-256
Validierte Identitätsanbieter
-
Shibboleth
-
Active Directory Federation Services (ADFS)
ADFS-Konfigurationsanforderungen
-
Sie müssen drei Antragsregeln in der folgenden Reihenfolge definieren, die erforderlich sind, damit Unified Manager ADFS SAML-Antworten für diesen Vertrauenseintrag der Treuhandgesellschaft analysieren kann.
Forderungsregel Wert SAM-Account-Name
Name-ID
SAM-Account-Name
Urne:oid:0.9.2342.19200300.100.1.1
Token-Gruppen — Unqualifizierter Name
Urne:oid:1.3.6.1.4.1.5923.1.5.1.1
-
Sie müssen die Authentifizierungsmethode auf „
Forms Authentication“ festlegen, oder Benutzer erhalten möglicherweise einen Fehler beim Abmelden von Unified Manager, wenn Sie Internet Explorer verwenden. Führen Sie hierzu folgende Schritte aus:-
Öffnen Sie die ADFS-Verwaltungskonsole.
-
Klicken Sie in der linken Strukturansicht auf den Ordner Authentication Policies.
-
Klicken Sie unter Aktionen auf der rechten Seite auf Globale primäre Authentifizierungsrichtlinie bearbeiten.
-
Setzen Sie die Intranet-Authentifizierungsmethode auf „
Forms Authentication“ anstatt auf die Standardauthentifizierung „Windows Authentication“.
-
-
In einigen Fällen wird die Anmeldung über das IdP abgelehnt, wenn das Unified Manager-Sicherheitszertifikat CA-signiert ist. Es gibt zwei Problemumgehungen zur Lösung dieses Problems:
-
Befolgen Sie die Anweisungen im Link, um die Widerrufs-Prüfung auf dem ADFS-Server für verkettete CA-Zertifikat zugeordnete abhängige Partei zu deaktivieren:
-
Der CA-Server befindet sich im ADFS-Server, um die Zertifiktanforderung des Unified Manager-Servers zu signieren.
-
Sonstige Konfigurationsanforderungen
-
Die Unified Manager-Taktskew ist auf 5 Minuten eingestellt, sodass der Zeitunterschied zwischen dem IdP-Server und dem Unified Manager-Server nicht mehr als 5 Minuten betragen kann oder die Authentifizierung fehlschlägt.
-
Wenn Benutzer versuchen, mit Internet Explorer auf Unified Manager zuzugreifen, wird möglicherweise die Meldung angezeigt die Webseite kann die Seite nicht anzeigen. Stellen Sie in diesem Fall sicher, dass diese Benutzer die Option „
Sso freundliche HTTP-Fehlermeldungen“ in Tools > Internetoptionen > Erweitert deaktivieren.