身份提供程序要求
在将 Unified Manager 配置为使用身份提供程序( Identity Provider , IdP )对所有远程用户执行 SAML 身份验证时,您需要了解一些必需的配置设置,以便成功连接到 Unified Manager 。
您必须在 IdP 服务器中输入 Unified Manager URI 和元数据。您可以从 Unified ManagerSAML 身份验证页面复制此信息。在安全断言标记语言( SAML )标准中, Unified Manager 被视为服务提供商( Service Provider , SP )。
支持的加密标准
-
高级加密标准( AES ): AES-128 和 AES-256
-
安全哈希算法( Secure Hash Algorithm , SHA ): SHA-1 和 SHA-256
经过验证的身份提供程序
-
Shibboleth
-
Active Directory 联合身份验证服务( ADFS )
ADFS 配置要求
-
您必须按以下顺序定义 Unified Manager 解析此依赖方信任条目的 ADFS SAML 响应所需的三个声明规则。
声明规则 | 价值 |
---|---|
sam 帐户名称 |
名称 ID |
sam 帐户名称 |
urn : OID : 0.9.2342.19200300.100.1.1 |
令牌组—非限定名称 |
urn : OID : 1.3.6.1.4.1.5923.1.5.1.1 |
-
您必须将身份验证方法设置为 "`Forms Authentication` " ,否则用户可能会在注销 Unified Manager 时收到错误。请按照以下步骤操作:
-
打开 ADFS 管理控制台。
-
单击左侧树视图中的身份验证策略文件夹。
-
在右侧的 "Actions" 下,单击 Edit Global Primary Authentication Policy 。
-
将 "Intranet Authentication Method" (内部网身份验证方法)设置为 "`Forms Authentication` " ,而不是默认值 "`Windows Authentication` " 。
-
-
在某些情况下,如果 Unified Manager 安全证书是 CA 签名的,则通过 IdP 登录将被拒绝。要解决此问题描述,可以使用两种解决方法:
-
按照链接中的说明在 ADFS 服务器上禁用对链接的 CA 证书关联依赖方进行的撤消检查:
-
将 CA 服务器驻留在 ADFS 服务器中,以便对 Unified Manager 服务器证书请求进行签名。
-
其他配置要求
-
Unified Manager 时钟偏差设置为 5 分钟,因此 IdP 服务器和 Unified Manager 服务器之间的时间差不能超过 5 分钟,否则身份验证将失败。