Exigences relatives aux fournisseurs d'identité
Suggérer des modifications
PDF
Lors de la configuration d'Unified Manager pour utiliser un fournisseur d'identité (IdP) pour effectuer l'authentification SAML pour tous les utilisateurs distants, vous devez connaître certains paramètres de configuration requis pour que la connexion à Unified Manager réussisse.
Vous devez saisir l'URI et les métadonnées d'Unified Manager dans le serveur IdP. Vous pouvez copier ces informations à partir de la page d’authentification SAML d’Unified Manager. Unified Manager est considéré comme le fournisseur de services (SP) dans la norme Security Assertion Markup Language (SAML).
Normes de cryptage prises en charge
-
Norme de chiffrement avancée (AES) : AES-128 et AES-256
-
Algorithme de hachage sécurisé (SHA) : SHA-1 et SHA-256
Fournisseurs d'identité validés
-
Schibboleth
-
Services de fédération Active Directory (ADFS)
Exigences de configuration ADFS
-
Vous devez définir trois règles de réclamation dans l'ordre suivant qui sont requises pour qu'Unified Manager analyse les réponses SAML ADFS pour cette entrée d'approbation de partie de confiance.
Règle de réclamation Valeur nom-du-compte-SAM
Nom d'identification
nom-du-compte-SAM
urn:oid:0.9.2342.19200300.100.1.1
Groupes de jetons – Nom non qualifié
urn:oid:1.3.6.1.4.1.5923.1.5.1.1
-
Vous devez définir la méthode d'authentification sur « Authentification par formulaire » sinon les utilisateurs risquent de recevoir une erreur lors de la déconnexion d'Unified Manager. Suivez ces étapes :
-
Ouvrez la console de gestion ADFS.
-
Cliquez sur le dossier Stratégies d’authentification dans l’arborescence de gauche.
-
Sous Actions sur la droite, cliquez sur Modifier la politique d’authentification principale globale.
-
Définissez la méthode d'authentification intranet sur « Authentification par formulaire » au lieu de la valeur par défaut « Authentification Windows ».
-
-
Dans certains cas, la connexion via l'IdP est rejetée lorsque le certificat de sécurité Unified Manager est signé par une autorité de certification. Il existe deux solutions de contournement pour résoudre ce problème :
-
Suivez les instructions identifiées dans le lien pour désactiver la vérification de révocation sur le serveur ADFS pour la partie de confiance associée au certificat CA chaîné :
-
Demandez au serveur CA de résider dans le serveur ADFS pour signer la demande de certificat du serveur Unified Manager.
-
Autres exigences de configuration
-
Le décalage de l'horloge d'Unified Manager est défini sur 5 minutes, de sorte que la différence de temps entre le serveur IdP et le serveur Unified Manager ne peut pas dépasser 5 minutes, sinon l'authentification échouera.