在OpManager for Microsoft AD FS中配置SAML身份验证设置
下面列出了在OpManager(SP)中为具有单点登录的Microsoft AD FS(IdP)配置SAML身份验证的步骤。
- 打开 AD FS 管理,然后单击 “添加信赖方信任”。
- 现在,转到OpManager并导航到设置 -> 常规设置 -> 身份验证 -> SAML 。从提供的链接下载服务提供商元数据和 SP 证书文件,并复制 SP 实体 ID 和 ACS URL。
- 返回到 AD FS,单击“开始”,然后选择“从文件导入有关信赖方的数据”。上传元数据文件。单击下一步。
注意:请参阅手动配置 Microsoft Ad FS 下的第 7 点,了解后续步骤。
您还可以手动配置 Microsoft ADFS。为此,
- 登录到 ADFS 管理,然后选择添加依赖方信任。
- 单击开始,然后选择 “Enter data about the reliance party manually”(手动输入有关依赖方的数据)。单击 Next(下一步)。
- 转到 “选择配置文件 ”,然后选择 “AD FS 配置文件”。单击下一步。
- 选择“启用对 SAML 2.0 WebSSO 协议的支持”选项,然后输入服务提供商 URL。单击下一步。
- 导航到OpManager并复制实体ID。转到在 Microsoft AD FS 中配置标识符,并将实体 ID 粘贴到信赖方信任标识符中。
- 选择“我目前不想为此信赖方信任配置多重身份验证设置”选项。单击下一步。
- 选择允许所有用户访问此依赖方选项。单击下一步。
- 单击下一步。
- 选中“向导关闭时打开此信赖方信任的编辑条款对话框”选项,然后选择关闭。
- 点击添加规则。在声明规则模板下的下拉列表中,选择转换传入声明,然后单击下一步。
- 输入相应的声明规则名称。选择Windows 账户名称作为传入申请类型。选择 Name ID (名称 ID) 作为传出索赔类型。选择临时标识符作为传出名称 ID 格式。选择传递所有声明值。单击完成。
- 单击应用,然后选择 OK(确定)。
- 下一步是从 ADFS 下载联合元数据 XML 文件。您可以通过将 FederationMetadata/2007-06/FederationMetadata.xml 附加到 ADFS 服务器的根 URL 来下载 XML。例如:如果 ADFS 服务器的 FQDN 为 dc.com,则完整的 URL 将为 https://dc.com/federationmetadata/2007-06/FederationMetadata.xml
- 在OpManager Web控制台中,导航到设置->常规设置->身份验证->SAML。在这里,选择 IdP 作为 ADFS,然后选择 名称 ID 作为 Transient。在 通过上传进行配置旁边,选择 Metadata (元数据) 并上传 Metadata XML 文件。
在两端完成配置后,将在OpManager中启用通过AD FS的SAML身份验证。在OpManager的登录门户中,选择使用AD FS登录并输入必要的凭据进行登录。
单击此处 了解有关OpManager中SAML身份验证的更多信息。
