身分識別供應商要求
將Unified Manager設定為使用身分識別供應商(IDP)來為所有遠端使用者執行SAML驗證時、您必須知道某些必要的組態設定、才能成功連線至Unified Manager。
您必須在IDP伺服器中輸入Unified Manager URI和中繼資料。您可以從Unified ManagerSAML驗證頁面複製此資訊。Unified Manager被視為安全性聲明標記語言(SAML)標準中的服務供應商(SP)。
支援的加密標準
-
進階加密標準(AES):AES-128和AES-256
-
安全雜湊演算法(SHa):SHA-1和SHA-256
已驗證的身分識別供應商
-
Shibboleth
-
Active Directory Federation Services(ADFS)
ADFS組態需求
-
您必須依下列順序定義三個宣告規則、Unified Manager才能剖析此信賴方信任項目的ADFS SAML回應。
請款規則 | 價值 |
---|---|
Sam-account-name |
名稱ID |
Sam-account-name |
urn:oID:0.9.2342.19200300.1001.1 |
權杖群組-不合格的名稱 |
urn:oID:1.3.6.1.4.1.5923.1.5.1.1 |
-
您必須將驗證方法設定為「Forms驗證」、否則使用者在登出Unified Manager時可能會收到錯誤訊息。請遵循下列步驟:
-
開啟ADFS管理主控台。
-
按一下左樹狀檢視中的「驗證原則」資料夾。
-
在右側的「Actions(動作)」下、按一下「Edit Global Primary驗證Policy(編輯全域主要驗
-
將內部網路驗證方法設為「Forms驗證」、而非預設的「Windows驗證」。
-
-
在某些情況下、當Unified Manager安全性憑證簽署CA時、會拒絕透過IDP登入。有兩種因應措施可解決此問題:
-
請依照連結中所述的指示、針對連結的依賴方之鏈結CA憑證、停用在ADFS伺服器上的撤銷檢查:
-
讓CA伺服器位於ADFS伺服器內、以簽署Unified Manager伺服器認證要求。
-
其他組態需求
-
Unified Manager時鐘偏移設定為5分鐘、因此IDP伺服器與Unified Manager伺服器之間的時間差異不可超過5分鐘、否則驗證將會失敗。