Skip to main content
OnCommand Unified Manager 9.5
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

身份提供程序要求

贡献者

在将 Unified Manager 配置为使用身份提供程序( Identity Provider , IdP )对所有远程用户执行 SAML 身份验证时,您需要了解一些必需的配置设置,以便成功连接到 Unified Manager 。

您必须在 IdP 服务器中输入 Unified Manager URI 和元数据。您可以从 Unified ManagerSAML 身份验证页面复制此信息。在安全断言标记语言( SAML )标准中, Unified Manager 被视为服务提供商( Service Provider , SP )。

支持的加密标准

  • 高级加密标准( AES ): AES-128 和 AES-256

  • 安全哈希算法( Secure Hash Algorithm , SHA ): SHA-1 和 SHA-256

经过验证的身份提供程序

  • Shibboleth

  • Active Directory 联合身份验证服务( ADFS )

ADFS 配置要求

  • 您必须按以下顺序定义 Unified Manager 解析此依赖方信任条目的 ADFS SAML 响应所需的三个声明规则。

    声明规则 价值

    sam 帐户名称

    名称 ID

    sam 帐户名称

    urn : OID : 0.9.2342.19200300.100.1.1

    令牌组—非限定名称

    urn : OID : 1.3.6.1.4.1.5923.1.5.1.1

  • 您必须将身份验证方法设置为"`Forms Authentication`"、否则用户在使用Internet Explorer时从Unified Manager注销时可能会收到错误。请按照以下步骤操作:

    1. 打开 ADFS 管理控制台。

    2. 单击左侧树视图中的身份验证策略文件夹。

    3. 在右侧的 "Actions" 下,单击 Edit Global Primary Authentication Policy 。

    4. 将 "Intranet Authentication Method" (内部网身份验证方法)设置为 "`Forms Authentication` " ,而不是默认值 "`Windows Authentication` " 。

  • 在某些情况下,如果 Unified Manager 安全证书是 CA 签名的,则通过 IdP 登录将被拒绝。要解决此问题描述,可以使用两种解决方法:

其他配置要求

  • Unified Manager 时钟偏差设置为 5 分钟,因此 IdP 服务器和 Unified Manager 服务器之间的时间差不能超过 5 分钟,否则身份验证将失败。

  • 当用户尝试使用Internet Explorer访问Unified Manager时、他们可能会看到消息*网站无法显示页面*。如果发生这种情况、请确保这些用户取消选中*工具*>* Internet选项*>*高级*中的`SHTTP错误消息友好程度`选项。