|
|
SAML身份验证为密码重置和帐户解锁过程增加了额外的安全层。如果您的组织已经拥有基于SAML的身份提供程序(IDP)应用程序,如OneLogin或Okta,则使用SAML身份验证作为验证用户身份的方法才是明智的。启用SAML身份验证后,在密码自助操作期间,用户将重定向到其IDP登录URL进行身份验证。身份验证成功后,用户将被路由回ADSelfService Plus门户,在那里他们可以重置密码或解锁帐户。要使用SAML身份验证,最终用户不必注册ADSelfService Plus。
请遵循以下步骤:
必须在两个位置配置SAML身份验证:
这里,IdP是基于SAML的身份提供商应用,例如OneLogin或Okta。SP为ADSelfService Plus。
|
|
SAML 身份验证 不能用于在自助操作期间通过ADSelfService Plus移动应用执行用户识别。 |
前提条件:
使用管理员凭据登录ADSelfService Plus Web控制台。点击配置 → 多重身份验证 → SAML 身份验证。复制ACS URL/接收 URL以及中继状态。
您打算使用的基于SAML的身份提供程序必须将ADSelfService Plus作为其SAML支持的应用程序之一。如果默认情况下不支持,您可以将ADSelfService Plus添加为身份提供程序中的新应用程序。点击相应的链接,查找在OKTA、OneLogin、ADFS和Line Works中添加新应用程序的步骤。对于其他身份提供商,请联系其支持团队以获得进一步帮助。
使用管理员凭据登录Identity Provider应用程序Web控制台,然后从提供的应用程序列表进入ADSelfService Plus。
下载XML格式的元数据,或者通过复制颁发者URL/实体ID、IDP登录URL和X509证书来获取所需的数据。
步骤 1: 服务提供商配置(ADSelfService Plus)
请查看以下步骤:
使用管理员凭据登录ADSelfService Plus web控制台。
点击配置 → 自助服务 → 多重身份验证。
点击SAML 身份验证。
勾选启用SAML 身份验证。
从下拉列表中选择一个身份提供商(IdP)。
有两种SAML配置模式:上传元数据文件和和手动配置。
选择上传元数据文件以手动上载从身份提供商下载的IDP元数据文件(请参阅前提条件的步骤4)。
点击浏览上传IdP元数据文件。
选择手动配置则要手动配置URL和证书,请查看以下操作
在相应字段中输入从身份提供者获取的颁发者URL/实体ID URL。(请参阅前提条件的步骤4)。
在IdP登录URL中,输入从身份提供商获取的登录URL(请参阅前提条件的步骤4)。
在为X.509-证书提供的空间中,输入从身份提供商获取的公共证书密钥(请参阅前提条件的步骤4)。
|
|
X.509-Certificate以“-BEGIN CERTIFICATE-”开头,以“-END CERTIFICATE-”结尾。如果此模式--尽管大多数情况下是默认的--不存在,请确保您维护它。 |
重要的: 默认情况下,ADSelfService Plus在密码自助服务期间使用相同的SAML身份验证配置进行多因素身份验证,在登录期间使用SSO。这意味着,如果启用了登录SSO设置,则为多因素身份验证完成的SAML配置将自动反映在登录SSO设置中。
选中创建新的SAML SSO复选框后,您可以通过生成新的ACS URL/接收URL和SP元数据文件来维护用于多因素身份验证的单独SAML配置。使用新生成的ACS URL/接收URL或SP元数据文件为身份提供程序中的ADSelfService Plus创建新的SAML配置。
|
|
|
点击保存。
步骤 2: 在身份提供商中设置SAML应用程序
A. 在Okta中设置SAML应用的步骤
使用管理员凭据登录OktaWeb控制台。确保您已登录到管理门户。
选择经典界面。
点击应用 > 添加应用 > 创建新的原因按钮。
在打开的对话框中,选择SAML 2.0,然后点击创建。
在常规设置中,应用名称字段输入SAML应用名称(例如: SelfService MFA)。如果需要,请上传应用的Logo,然后点击下一步。
在配置SAML中,将ACS URL/接收 URL填写至单点登录URL和受众URI(SP实体ID)字段。
|
|
|
点击下一步。
在反馈中,选择适当的响应,然后点击完成。
此时会出现新创建的应用的登录选项卡。通过点击身份提供商元数据链接下载元数据文件。在ADSelfService Plus中配置SAML身份验证时,您将需要此文件。因此,请保存此文件并确保其安全。将下载的元数据文件重命名为‘metadata_okta.xml’。
点击指派标签,然后进行指派。根据您的要求选择指派给人员或指派给组。选择完成后,点击保存并返回按钮。
点击完成。
B. 在OneLogin中设置SAML应用的步骤
使用管理员的凭证登录到OneLogin web控制台。
点击管理按钮。
点击应用标签 → 添加应用。
在搜索应用中搜索SAML。从搜索结果中选择SAML测试连接器(IdP)。
更新显示名称以及应用Logo。点击保存。
在配置标签下,输入ACS URL/接收 URL至ACS(消费者)URL验证器,ACS(消费者)URL,接收和受众字段。
|
|
|
点击用户标签并根据您的需求将应用程序分配给用户或组。
在更多动作中,选择SAML元数据下载元数据文件。在ADSelfService Plus中配置SAML身份验证时,您将需要这个文件。所以,保存这个文件并保证它的安全。
点击保存。
C. 在ADFS中设置SAML应用程序的步骤
前提条件:
要在ADSelfService Plus中配置用于身份验证的ADFS,您需要以下组件:
您需要安装ADFS服务器。安装和配置ADFS的详细步骤可以在Microsoft文章中找到。
用于签署ADFS登录页面的SSL证书和该证书的指纹。
配置步骤
|
|
对于尝试通过ADFS身份验证访问ADSelfService Plus的用户,仅配置了基于表单的身份验证方法-用于基于Intranet和Extranet的使用。您可以在身份验证策略 → 主要身份验证 → 全局设置中查看。 |
索赔规则与依赖方信任
在配置期间,您将需要添加信任方信任并创建声明规则。
创建信赖方信任是为了通过验证声明在两个应用程序之间建立连接以进行身份验证。在这种情况下,ADFS将信任依赖方(ADSelfService Plus),并根据生成的声明对用户进行身份验证。
声明是通过对声明规则应用特定条件来生成的。声明是用于标识实体以建立访问权限的属性。例如,Active Directory sAMAccountName。
步骤 1: 添加依赖方信任
从动作侧栏中,选择添加依赖方信任。将打开添加依赖方信任向导。
点击开始。
在选择数据源页面中,点击手动输入有关Party的数据选项,然后点击下一步。
在指定显示名称页面中,输入您选择的显示名称,如果需要,还可以添加其他注释。点击下一步。
在选择配置文件页中,点击ADFS FS配置文件按钮。点击下一步。
在配置证书中,已应用默认设置。点击下一步。
在配置URL中,勾选启用SAML 2.0 WebSSO协议支持的复选框。依赖方SAML 2.0 SSO服务URL将是您的ADSSP服务器的ACS URL。请注意,URL末尾没有斜杠。例如:
|
|
ACS URL/Recipient URL: 使用管理员凭据登录ADSelfService Plus Web控制台。点击配置 → 多重身份验证 → SAML 身份验证 → ACS URL/接收 URL。复制ACS URL/接收 URL。 |
在下一页中,为依赖方信任标识符选项添加https://selfservice.com
在下一页上,您可以选择配置依赖方信任的多因素身份验证设置。点击下一步”。
在选择发布授权规则页中,您可以选择允许所有用户访问此依赖方或拒绝所有用户访问此依赖方。点击下一步。
接下来的两页将显示您已配置的设置的概述。在完成页中,点击关闭退出向导。如果您选择了在向导关闭时为此依赖方信任打开“编辑声明规则”对话框选项,则声明规则编辑器将自动打开。
步骤 2: 创建索赔规则
一旦配置了信任方信任,您就可以使用声明规则编辑器创建声明规则,该编辑器在您完成创建信任时默认打开。
点击添加规则创建一个新的规则。
从可用的声明规则模板列表中,选择将LDAP属性作为声明发送。点击下一步。
在下一页中,提供声明规则名称并选择Active Directory作为属性存储。
从LDAP属性列中,选择SAMAccountName。
从传出索赔类型列中,选择名称ID。
点击完成保存规则。
|
|
您可以选择多个LDAP属性,并将它们映射到其对应的传出声明类型。例如,您可以添加LDAP属性,如给定的名称、姓氏、电话号码等。 |
点击完成后,您可以查看已创建的规则。
完成ADFS配置后,通过点击身份提供程序元数据链接下载元数据文件。例如:
https://server_name/FederationMetadata/2007-06/FederationMetadata.xml.
在ADSelfService Plus中配置SAML身份验证时,您将需要此文件。因此,请保存此文件并确保其安全。
步骤 3: 启用SAML注销选项
进入中继方信任并找到您创建的规则。
右键点击属性。
在打开的窗口中,找到Endpoint选项,然后点击添加SAML按钮。
在受信任的URL中,粘贴从前提条件的步骤1复制的SP注销URL。
在Signature标签中,上传先决条件的第1步PEM格式的x .509证书。
点击确认。
针对ADSelfService Plus的IDP发起的SSO
这些步骤可帮助您通过ADFS验证您的ADSelfService Plus帐户。
前提条件
在ADFS中启用RelayState。
Windows Server 2012:
编辑ADFS服务器中的
%systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config文件。
在<microsoft.identityServer.web>中,输入以下代码: <useRelayStateForIdpInitiatedSignOn enabled="true" />
示例:
<microsoft.identityServer.web>
…..
<useRelayStateForIdpInitiatedSignOn enabled="true" />
</microsoft.identityServer.web>
重启ADFS服务器。
Windows Server 2016:
使用ADFS服务器中的管理属性打开Powershell。
运行以下命令以启用IdP启动的SSO:
Set-ADFSProperties -EnableIdPInitiatedSignonPage $true
运行以下代码以启用RelayState:
Set-ADFSProperties -EnableRelayStateForIDPInitiatedSignon $true
重启ADFS服务器。
生成IdP URL的步骤:
使用管理员凭据登录ADSelfService Plus Web控制台。
点击管理 → SSO设置。
在SAML身份验证的服务提供商详细信息中,复制中继状态和SP颁发者URL。
打开文字处理器并输入以下命令:
<IdP_URL_String>RelayState=RPID=<SP_Issuer_URL>&RelayState=<Relay State>
|
|
在IdPURL字符串的位置,输入https://<ADFSserver>/adfs/ls/idpinitiatedsignon.aspx,其中ADFS服务器是部署ADFS的服务器。 |
给它一个名字,然后保存它。对保存的URL进行编码。
示例:
编码后,它将看起来像下面的URL:
https://example.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fselfservice-0001%253A9267%252FsamlLogin%252F88d9537b8c5f7376fc78fdfb7591601e85aa8ebb%26RelayState%3DaHR0cHM6Ly9raXJ1YmhhLTUyNTg6OTI2Ny9zYW1sTG9naW4vTG9naW5BdXRo
D. 在Line Works中设置SAML应用程序的步骤
登录到Line Works开发人员控制台。点击应用 > SAML 应用,点击添加的图标。
在打开的窗口中,在相应字段中提供适当的应用程序名称、说明和Logo。
在ACS URL字段和颁发者URL/实体ID中,输入ADSelfService Plus的ACS URL/接收URL。
|
|
|
在弹出的窗口中,点击确认。
进入SAML 应用中,找到您刚刚创建的应用程序。点击更改按钮并将状态更改为“有效性”。点击保存。
|
|
