SAML身份验证
安全断言标记语言(SAML)是一种基于XML的标准,用于在服务提供商(SP)和身份提供商(IdP)之间交换身份验证凭证。它消除了对多个密码的需求,并且借助单点登录(SSO)功能,提供了一种使用通用登录凭证访问多个应用程序的安全、简单的方法。
服务提供商: SP是向最终用户提供服务的应用程序或第三方实体。SP需要从IdP进行身份验证,以方便用户进行身份验证。例如: ManageEngine OpManager和ManageEngine Endpoint Central。
身份提供者: IdP是存储用户身份或资源的实体,例如用户名、密码和SSH密钥。举例: Okta、Microsoft ADFS、Auth0、CyberArk和Azure SSO。
OpManager中的SAML身份验证
用户现在可以使用SAML登录到OpManager。在登录期间,会向IdP发送一个请求,并检查该特定用户的必要身份验证凭证。然后将响应传回给OpManager,使用户获得访问权限。
例如,一旦配置了SAML,用户将可以在OpManager的登录页面上选择将他们连接到IdP端的SSO登录页面。登录后,假设用户帐户可用,用户将被重定向回OpManager并使用IdP提供的身份验证登录。如果用户无法通过身份验证,他们的访问将被拒绝,之后将返回到OpManager登录页面。
在OpManager中配置SAML
SAML需要两个不同的配置过程。服务提供商应配置OpManager和身份提供商,以便成功配置SAML。SP和IdP可以通过两种方式进行配置,通过提供必要的凭证手动配置,或者通过上传XML元数据文件自动配置。要了解有关在OpManager中为SAML配置IdP和SP的更多信息,请访问我们的SAML帮助页面。
服务提供商详细信息
如果您选择手动配置SAML,则需要以下服务提供商详细信息,
- 实体ID
- Assertion Consumer URL
- SSO Logout URL
- SP凭证文件
此信息可在OpManager UI中获得,并可用于将OpManager添加为IdP中支持的应用程序。您也可以直接从OpManager下载SP元数据文件并在IdP端将其导入。此元数据文件将包含上述所有XML格式的详细信息。要了解有关OpManager中SAML配置的更多信息,请点击此处。
身份提供者详细信息
与SP详细信息配置类似,您可以手动配置IdP详细信息或上传从IdP端获取的元数据文件。
点击相应的IdP名称,从而查看在OpManager和该IdP之间配置SAML的步骤。
常见问题
我们可以配置多个IdP吗?
+
OpManager支持哪些不同的名称标识符格式?
+
目前,OpManager中SAML身份验证支持的名称ID格式有临时和永久两种。
我们可以在OpManager中同时使用SAML身份验证和2FA功能吗?
+
在OpManager中,启用SAML身份验证后,您将无法使用TFA。这是因为当启用SAML身份验证时,整个身份验证流程由IdP处理。只有在使用本地、AD或Radius身份验证登录时才能使用TFA。
在使用SAML时,我们是否可以选择启用或禁用AD和RADIUS身份验证?
+
是的。启用SAML身份验证后,将提示禁用其他身份验证,如有必要您可以禁用其他登录方法。另外您将只能通过超级管理员在本地登录。
如果IdP无法访问,我如何访问产品的Web客户端?
+
如果无法访问IdP并且禁用了其他身份验证方法,您可以通过超级管理员在本地登录。如果没有禁用其他认证方式,您可以使用默认方式登录OpManager。
如果证书过期,如何配置SAML?
+
如果证书即将到期,OpManager将在用户登录后发出告警。服务提供者的证书可以从OpManager UI重新生成并上传到IdP,反之亦然。上传后证书的有效期将被更新。
