Skip to main content
Active IQ Unified Manager 9.11
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

身分識別供應商要求

貢獻者

將Unified Manager設定為使用身分識別供應商(IDP)來為所有遠端使用者執行SAML驗證時、您必須知道某些必要的組態設定、才能成功連線至Unified Manager。

您必須在IDP伺服器中輸入Unified Manager URI和中繼資料。您可以從Unified ManagerSAML驗證頁面複製此資訊。Unified Manager被視為安全性聲明標記語言(SAML)標準中的服務供應商(SP)。

支援的加密標準

  • 進階加密標準(AES):AES-128和AES-256

  • 安全雜湊演算法(SHa):SHA-1和SHA-256

已驗證的身分識別供應商

  • Shibboleth

  • Active Directory Federation Services(ADFS)

ADFS組態需求

  • 您必須依下列順序定義三個宣告規則、Unified Manager才能剖析此信賴方信任項目的ADFS SAML回應。

    請款規則 價值

    Sam-account-name

    名稱ID

    Sam-account-name

    urn:oID:0.9.2342.19200300.1001.1

    權杖群組-不合格的名稱

    urn:oID:1.3.6.1.4.1.5923.1.5.1.1

  • 您必須將驗證方法設定為「Forms驗證」、否則使用者在登出Unified Manager時可能會收到錯誤訊息。請遵循下列步驟:

    1. 開啟ADFS管理主控台。

    2. 按一下左樹狀檢視中的「驗證原則」資料夾。

    3. 在右側的「Actions(動作)」下、按一下「Edit Global Primary驗證Policy(編輯全域主要驗

    4. 將內部網路驗證方法設為「Forms驗證」、而非預設的「Windows驗證」。

  • 在某些情況下、當Unified Manager安全性憑證簽署CA時、會拒絕透過IDP登入。有兩種因應措施可解決此問題:

    • 請依照連結中所述的指示、針對連結的依賴方之鏈結CA憑證、停用在ADFS伺服器上的撤銷檢查:

    • 讓CA伺服器位於ADFS伺服器內、以簽署Unified Manager伺服器認證要求。

其他組態需求

  • Unified Manager時鐘偏移設定為5分鐘、因此IDP伺服器與Unified Manager伺服器之間的時間差異不可超過5分鐘、否則驗證將會失敗。