单点登录

如果启用了SSO设置选项，用户只需登录其Windows计算机或通过第三方身份提供程序即可自动登录ADSelfService Plus。

ADSelfService Plus支持具有两种身份验证类型的单点登录。他们是:

1. NTLM 身份验证

2. SAML 身份验证

1. NTLM 身份验证:

在此身份验证方法中，用户使用登录计算机时使用的凭据登录到ADSelfService Plus Web控制台。要启用NTLM身份验证，请执行以下步骤。

重要的: 必须注意的是，ADSelfService Plus的访问URL必须与本地Intranet站点相关联才能自动登录。

• 点击登录设置 (管理 → 个性化 → 登录设置)。

• 点击启用SSO。

• 选择NTLM 身份验证。

• 要使用NTLM身份验证服务，必须在Active Directory中使用符合Active Directory中的密码策略的特定密码创建与您网络中的物理计算机没有关联的计算机帐户。点击更新凭据以提供计算机帐户的详细信息。必须注意的是，NTLM身份验证是基于域的。也就是说，可以为您选择的一组域启用NTLM身份验证。

• 如果您已经有这样的计算机帐户，请在提供的字段中输入计算机名称和密码。您还可以通过提供所需的详细信息并选中“在域中创建此计算机帐户”复选框来创建新的计算机帐户。通过点击启用/禁用按钮启用或禁用计算机帐户。

  

• 点击保存。

• 如果您在不属于所选域的计算机上安装了ADSelfService Plus，请点击高级按钮并指定该域的DNS服务器和DNS站点。

  

A. 如何查找DNS服务器的IP地址?

• 在属于所选域的计算机中，打开命令提示符，输入ipconfig/all，然后按Enter键。

• 在相应字段中输入显示在DNS服务器下的IP地址。

B. 如何查找DNS站点?

• 打开Active Directory站点和服务

• 在相应字段中输入包含所选域的域控制器的DNS站点。

C. 如何将站点添加到本地Intranet区域?

可以通过两种方式应用所需的配置。

• 使用组策略

• 手动配置

方法 1: 使用组策略(在Google Chrome和Internet Explorer上受支持)

1. 创建新的组策略对象，然后点击用户配置 →管理模板 → Windows组件 → Internet Explorer → Internet控制面板 → 安全页 → 站点到区域分配列表。选择启用。

2. 点击显示以显示分区分配。在值名称中输入访问URL，并通过在值中输入数字1将其与受信任的站点相关联，然后点击确定。

3. 点击用户配置 → 管理模板 →所有设置 → 登录选项。选择启用。

4. 从登录选项列表中，点击仅在Intranet区域中自动登录，然后点击确定。

方法 2: 手动配置

1. Google Chrome:

   • 点击设置 → 高级 → 系统 → 打开代理设置。

   • 点击安全叶，选择本地intranet图标。

   • 点击站点按钮，在必填字段中输入ADSelfService Plus的访问URL，然后点击添加。

2. Internet Explorer:

   • 点击工具 → Internet选项 → 安全。

   • 点击安全叶，选择本地intranet图标。

   • 点击站点按钮，在必填字段中输入ADSelfService Plus的访问URL，然后点击添加。

3. Mozilla Firefox:

   • 在地址栏中输入about:config然后按Enter键以显示首选项列表。如果显示警告消息，请点击我接受这个风险按钮以继续。

   • 点击network.automatic-ntlm-auth.trusted-uris首选项。

   • 双击首选项并输入ADSelfService Plus的访问URL。例如：selfservice-5994:8888

   • 点击确认。

2. SAML 身份验证:

ADSelfService Plus支持通过基于SAML的身份提供者(IDPs)一键访问其Web控制台。

启用基于SAML的SSO选项后，每次用户尝试访问ADSelfService Plus的Web控制台时，IdP都会收到身份验证请求。IdP对用户进行身份验证，身份验证成功后，用户将自动登录到ADSelfService Plus门户。*如果用户已经登录到身份提供者，则当用户尝试访问ADSelfService Plus时，将自动授予他们访问权限。

前提条件:

1. 以管理员身份登录ADSelfService Plus Web控制台。点击管理标签 → 个性化 → 登录设置 → 点击启用SSO并选择SAML身份验证。下载X.509证书文件，或通过复制中继状态、ACS URL/接收URL、SP颁发者URL和SP注销URL来获取所需数据。在配置身份提供程序时，您将需要此信息。

    

   

    

2. 您打算使用的基于SAML的身份提供程序必须将ADSelfService Plus作为其SAML支持的应用程序之一。如果默认情况下不支持，您可以将ADSelfService Plus添加为身份提供程序中的新应用程序。点击相应的链接，查找在OKTA、OneLogin、ADFS和Line Works中添加新应用程序的步骤。对于其他身份提供商，请联系其支持团队以获得进一步帮助。

3. 使用管理员凭据登录到您的身份提供商，然后从提供的应用程序列表进入ADSelfService Plus。下载XML格式的元数据，或者通过复制颁发者URL/实体ID、IdP登录URL、IdP注销URL和X.509证书来获取所需的数据。在为登录SSO配置ADSelfService Plus时，您将需要此信息。

步骤 1: 服务提供商配置(ADSelfService Plus)

1. 使用管理员凭据登录ADSelfService Plus Web控制台。

2. 点击管理 → 个性化 → 登录设置 → SSO设置。

3. 勾选启用SSO。

    

   

    

4. 选择SAML 身份验证。

5. 在选择IdP下拉框中选择您选择的身份提供商。如果您已从下拉列表中选择自定义SAML，则必须在相应字段中输入IdP名称并上传IdP Logo。

6. 有两种SAML配置模式：上传元数据文件和手动配置。

    

   1. 如果已从身份提供程序下载了IdP元数据文件，请选择上传元数据文件。(请参阅前提条件的步骤3

      • 点击浏览上传IDP元数据文件。

       

      

       

   2. 选择手动配置以手动配置URL和证书。

      1. 在相应字段中输入从身份提供者获取的颁发者URL/实体ID URL(请参阅前提条件的步骤3)。

      2. 在IdP登录URL中，输入从身份提供者获取的登录URL(请参阅前提条件的步骤3)。

          

         

          

7. 选择签署SAML注销请求选项对从ADSelfService Plus发送到基于SAML的身份提供方的注销请求进行签名。了解更多

8. 选择签署SAML注销响应选项对从ADSelfService Plus到基于SAML的身份提供程序的注销响应进行签名。了解更多

    

   

    

9. 点击保存。