身份提供者要求
建议更改
PDF
当配置 Unified Manager 使用身份提供商 (IdP) 为所有远程用户执行 SAML 身份验证时,您需要了解一些必需的配置设置,以便成功连接到 Unified Manager。
您必须将 Unified Manager URI 和元数据输入到 IdP 服务器中。您可以从 Unified ManagerSAML 身份验证页面复制此信息。 Unified Manager 被视为安全断言标记语言 (SAML) 标准中的服务提供商 (SP)。
支持的加密标准
-
高级加密标准 (AES):AES-128 和 AES-256
-
安全哈希算法 (SHA):SHA-1 和 SHA-256
经过验证的身份提供者
-
口令
-
Active Directory 联合身份验证服务 (ADFS)
ADFS 配置要求
-
您必须按照以下顺序定义三个声明规则,Unified Manager 需要这些规则来解析此依赖方信任条目的 ADFS SAML 响应。
声明规则 值 SAM 帐户名称
姓名 ID
SAM 帐户名称
urn:oid:0.9.2342.19200300.100.1.1
令牌组——非限定名称
urn:oid:1.3.6.1.4.1.5923.1.5.1.1
-
您必须将身份验证方法设置为“表单身份验证”,否则用户在退出 Unified Manager 时可能会收到错误。按照下面的步骤进行操作:
-
打开 ADFS 管理控制台。
-
单击左侧树视图上的身份验证策略文件夹。
-
在右侧的操作下,单击编辑全局主要身份验证策略。
-
将 Intranet 身份验证方法设置为“表单身份验证”而不是默认的“Windows 身份验证”。
-
-
在某些情况下,当 Unified Manager 安全证书由 CA 签名时,通过 IdP 登录会被拒绝。有两种解决方法可以解决此问题:
-
按照链接中的说明,禁用 ADFS 服务器上与链式 CA 证书关联的信赖方的吊销检查:
-
让 CA 服务器驻留在 ADFS 服务器内以签署 Unified Manager 服务器证书请求。
-
其他配置要求
-
Unified Manager 时钟偏差设置为 5 分钟,因此 IdP 服务器和 Unified Manager 服务器之间的时间差不能超过 5 分钟,否则身份验证将失败。