Skip to main content
Active IQ Unified Manager 9.16
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

身份提供程序要求

贡献者

在将 Unified Manager 配置为使用身份提供程序( Identity Provider , IdP )对所有远程用户执行 SAML 身份验证时,您需要了解一些必需的配置设置,以便成功连接到 Unified Manager 。

您必须在 IdP 服务器中输入 Unified Manager URI 和元数据。您可以从 Unified ManagerSAML 身份验证页面复制此信息。在安全断言标记语言( SAML )标准中, Unified Manager 被视为服务提供商( Service Provider , SP )。

支持的加密标准

  • 高级加密标准( AES ): AES-128 和 AES-256

  • 安全哈希算法( Secure Hash Algorithm , SHA ): SHA-1 和 SHA-256

经过验证的身份提供程序

  • Shibboleth

  • Active Directory 联合身份验证服务( ADFS )

ADFS 配置要求

  • 您必须按以下顺序定义 Unified Manager 解析此依赖方信任条目的 ADFS SAML 响应所需的三个声明规则。

    声明规则 价值

    sam 帐户名称

    名称 ID

    sam 帐户名称

    urn : OID : 0.9.2342.19200300.100.1.1

    令牌组—非限定名称

    urn : OID : 1.3.6.1.4.1.5923.1.5.1.1

  • 您必须将身份验证方法设置为 "`Forms Authentication` " ,否则用户可能会在注销 Unified Manager 时收到错误。请按照以下步骤操作:

    1. 打开 ADFS 管理控制台。

    2. 单击左侧树视图中的身份验证策略文件夹。

    3. 在右侧的 "Actions" 下,单击 Edit Global Primary Authentication Policy 。

    4. 将 "Intranet Authentication Method" (内部网身份验证方法)设置为 "`Forms Authentication` " ,而不是默认值 "`Windows Authentication` " 。

  • 在某些情况下,如果 Unified Manager 安全证书是 CA 签名的,则通过 IdP 登录将被拒绝。要解决此问题描述,可以使用两种解决方法:

    • 按照链接中的说明在 ADFS 服务器上禁用对链接的 CA 证书关联依赖方进行的撤消检查:

    • 将 CA 服务器驻留在 ADFS 服务器中,以便对 Unified Manager 服务器证书请求进行签名。

其他配置要求

  • Unified Manager 时钟偏差设置为 5 分钟,因此 IdP 服务器和 Unified Manager 服务器之间的时间差不能超过 5 分钟,否则身份验证将失败。