身份提供者要求
建議變更
PDF
當設定 Unified Manager 使用身分提供者 (IdP) 為所有遠端使用者執行 SAML 驗證時,您需要了解一些必要的設定設置,以便成功連線到 Unified Manager。
您必須將 Unified Manager URI 和元資料輸入到 IdP 伺服器中。您可以從 Unified ManagerSAML 驗證頁面複製此資訊。 Unified Manager 被視為安全斷言標記語言 (SAML) 標準中的服務提供者 (SP)。
支援的加密標準
-
高級加密標準 (AES):AES-128 和 AES-256
-
安全雜湊演算法 (SHA):SHA-1 和 SHA-256
經過驗證的身份提供者
-
口令
-
Active Directory 聯合驗證服務 (ADFS)
ADFS 設定要求
-
您必須依照下列順序定義三個宣告規則,Unified Manager 需要這些規則來解析此依賴方信任項目的 ADFS SAML 回應。
聲明規則 價值 SAM 帳戶名稱
姓名 ID
SAM 帳戶名稱
urn:oid:0.9.2342.19200300.100.1.1
令牌組——非限定名稱
urn:oid:1.3.6.1.4.1.5923.1.5.1.1
-
您必須將身份驗證方法設定為“表單驗證”,否則使用者在退出 Unified Manager 時可能會收到錯誤。請依照以下步驟操作:
-
開啟 ADFS 管理控制台。
-
點選左側樹狀視圖上的身份驗證策略資料夾。
-
在右側的操作下,按一下編輯全域主要驗證策略。
-
將 Intranet 驗證方法設定為「表單驗證」而不是預設的「Windows 驗證」。
-
-
在某些情況下,當 Unified Manager 安全性憑證由 CA 簽署時,透過 IdP 登入會被拒絕。有兩種解決方法可以解決此問題:
-
依照連結中的說明,停用 ADFS 伺服器上與鍊式 CA 憑證關聯的信賴方的撤銷檢查:
-
讓 CA 伺服器駐留在 ADFS 伺服器內以簽署 Unified Manager 伺服器憑證要求。
-
其他配置要求
-
Unified Manager 時鐘偏差設定為 5 分鐘,因此 IdP 伺服器和 Unified Manager 伺服器之間的時間差不能超過 5 分鐘,否則驗證會失敗。