在OpManager中配置SAML

有两种方法可以在OpManager中配置SAML。您可以通过提供必要的凭据手动执行此操作,也可以直接上传元数据文件(如果可用)。

服务提供商详细信息

如果您选择手动配置 SAML,系统将为您提供以下详细信息:实体 ID、断言使用者 URL、SSO 注销 URL 以及用于下载 SP 证书文件的链接。此信息可在OpManager UI中找到,可用于将OpManager添加为IdP中支持的应用程序。

您也可以直接从OpManager下载SP元数据文件,并在IdP端导入。此元数据文件将包含XML格式的所有上述详细信息。

SAML authentication in OpManager

标识提供者详细信息

与 SP 详细信息配置类似,您可以手动配置 IdP 详细信息,也可以上传从 IdP 端获取的元数据文件。

上传 IdP 元数据文件:

如果您有来自IdP的元数据文件,请直接在OpManager中上传。

  1. 设置->常规设置->身份验证下,导航到SAML 身份验证选项卡
  2. 在“配置身份提供商详细信息”部分下,选择上传 IdP 元数据文件,然后输入 IdP 名称
  3. 找到从 IdP 获取的元数据文件,然后单击上传

SAML authentication in OpManager

手动配置 IdP 信息:

您也可以在OpManager中手动输入IdP详细信息。为此,您将需要以下详细信息:

  1. IdP 名称
  2. IdP 登录 URL
  3. IdP 注销 URL
  4. IdP 证书

设置->常规设置->身份验证下的手动配置 IdP 信息部分>输入上述详细信息。

要查看在OpManager和该IdP之间配置SAML的步骤,请单击相应的IdP名称。

SAML authentication in OpManager

注意

  1. OpManager还提供了一个称为“单点注销”的选项。与SSO类似,用户可以通过单击提供的注销URL从OpManager UI立即注销OpManager和配置的IdP。
  2. 截至目前,电子邮件地址、临时和永久名称标识符可用于 SAML 配置。
  3. 要通过SAML身份验证对OpManager的AD用户进行身份验证,IdP中的名称ID值应采用<domainname>\<username>格式。
  4. 如果多个用户在配置电子邮件地址名称标识符时提供了相同的电子邮件地址,则他们无法使用 SAML 身份验证登录。
  5. 在IdP中配置的用户名/电子邮件地址应与OpManager中提供的相同用户名/电子邮件地址匹配,以便成功进行身份验证。

常见问题

1. 在使用 SAML 时,我们是否可以选择启用或禁用 AD 和 Radius 身份验证?

是的。启用 SAML 身份验证后,系统将提示禁用其他身份验证,如有必要,您可以禁用其他登录方法。此外,您只能通过超级管理员在本地登录。

2. 我们可以配置多个 IdP 吗?

不可以,目前一次只能配置一个 IdP。

3. OpManager支持哪些不同的名称ID格式?

目前,电子邮件地址瞬态永久是OpManager中SAML身份验证支持的名称ID格式。

4. 我们可以在OpManager中同时使用SAML身份验证和TFA功能吗?

在OpManager中,启用SAML身份验证后,您将无法使用TFA。这是因为,启用 SAML 身份验证时,整个身份验证流程由 IdP 处理。TFA 只能在使用本地、AD 或 Radius 身份验证登录时使用。

5. 如果无法访问 IdP,如何访问产品 WebClient?

如果无法访问 IdP 且其他身份验证方法被禁用,您可以通过超级管理员登录本地。如果未禁用其他身份验证方法,则可以使用默认方法登录OpManager。

6. 证书过期后如何配置SAML?

如果证书即将到期,OpManager将在用户登录后发出告警。服务提供商的证书可以从OpManager UI重新生成并上传到IdP,反之亦然。上传后,证书的有效期将续订。