SAML 身份验证

SAML 认证为密码重置和账户解锁过程增加了一层额外的安全性。如果您的组织已经使用基于 SAML 的身份提供商 (IdP) 应用程序，例如 OneLogin 或 Okta，那么使用 SAML 认证作为验证用户身份的方法非常合理。当启用 SAML 认证时，在执行密码自助服务操作时，用户将被重定向到其 IdP 登录网址进行身份验证。身份验证成功后，用户将返回到 ADSelfService Plus 门户，在那里可以重置密码或解锁账户。使用 SAML 认证时，最终用户无需在 ADSelfService Plus 上注册。

SAML 认证的步骤：

需要在两个地方进行 SAML 认证的配置：

1. 在服务提供商 (SP)。
2. 在身份提供商 (IdP)。

这里，IdP 是 OneLogin 或 Okta 等基于 SAML 的身份提供商应用程序。SP 是 ADSelfService Plus。

前提步骤：

1. 以管理员身份登录到 ADSelfService Plus 网络控制台。导航到 配置 选项卡 → 自助服务 → 多因素认证 → 认证设置 → SAML 认证。点击 ACS URL/接受者 URL 和 中继状态。
2. 您打算使用的基于 SAML 的身份提供商必须将 ADSelfService Plus 作为其 SAML 支持的应用程序之一。如果默认为不支持，您可以在身份提供商中添加 ADSelfService Plus 作为新应用程序。通过点击相应的链接，查找在 Okta，OneLogin，ADFS 和 Line Works 中添加新应用程序的步骤。对于其他身份提供商，请联系其支持团队以获得进一步帮助。
3. 使用管理员凭据登录到您的身份提供商应用程序网络控制台，并从提供的应用程序列表中导航到 ADSelfService Plus。
4. 可以下载 元数据 为 XML 格式，或通过复制 发行者 URL/实体 ID，IdP 登录 URL 以及 X509 证书。获取所需数据。

步骤 1：服务提供商配置（ADSelfService Plus）

1. 使用管理员凭据登录到 ADSelfService Plus 网络控制台。
2. 导航到 配置 选项卡 → 自助服务 → 多因素认证 → 认证设置。
3. 点击 SAML 认证 部分。如果您已经配置过，点击 修改。

4. 从下拉列表中选择一个 IdP。

5. 有两种 SAML 配置模式：上传元数据文件 和 手动配置。

   1. 选择 上传元数据 文件以手动上传从身份提供商下载的 IdP 元数据文件（参见前提步骤的 步骤 4）。
      • 点击 浏览 上传 IdP 元数据文件。
   2. 选择 手动配置 以手动配置 URL 和证书。
      • 在相应字段中输入从身份提供商获取的 发行者 URL/实体 ID URL。（请参阅先决条件的步骤 4）。
      • 在 IdP 登录 URL 中，输入从身份提供商获取的登录 URL（请参阅先决条件的步骤 4）。

      • 在提供的 X.509-Certificate 空间中，输入从身份提供商获取的公有证书密钥（请参阅先决条件的步骤 4）。

        注意：

        X.509-Certificate 以 “-----BEGIN CERTIFICATE-----” 开始，以 “-----END CERTIFICATE-----” 结束。如果这种模式——尽管是大多数情况下的默认模式——不存在，您需要手动将其添加到文件中。

        

        重要：

        • 默认情况下，ADSelfService Plus 在密码自助服务时使用相同的 SAML 认证配置进行多因素认证，并在登录时使用单点登录（SSO）。这意味着，如果启用了后者，MFA SAML 配置将自动反映在登录 SSO 设置中。
        • 当您选择创建一个新的 SAML SSO复选框时，您可以通过生成新的 ACS URL/接收 URL和 SP 元数据文件来维护单独的 SAML 配置用于多因素认证。使用新生成的 ACS URL/接收 URL 或 SP 元数据文件在身份提供商中为 ADSelfService Plus 创建新的 SAML 配置。
        • 点击 保存, 将生成新的 ACS/接收 URL。
        • 复制中继状态值。

6. 点击 保存。

步骤 2：在身份提供商中设置 SAML 应用程序

在本节中，我们介绍了配置步骤：

• Okta
• OneLogin
• AD FS
• Line Works
• 微软 Azure AD

A. 在 Okta 中设置 SAML 应用程序的步骤

1. 使用管理员凭证登录到 Okta Web 控制台。确保您已登录到管理员门户。
2. 导航到经典界面下拉框。
3. 进入 应用程序 标签 > 添加应用程序 快捷方式 > 创建新应用 按钮。
4. 在打开的对话框中，选择 SAML 2.0 选项，然后点击 创建。

5. 在 常规设置 中，在 应用名称 字段中输入 SAML 应用程序名称（例如：SelfService MFA）。如有需要，上传应用程序的 logo，然后点击 下一步。

   

6. 在 配置 SAML 中，输入 ACS URL/Recipient URL 到 单点登录 URL 和 受众 URI (SP 实体 ID) 字段。

   

   注意:

   • ACS URL/Recipient URL: 使用管理员凭据登录到 ADSelfService Plus 网页控制台。导航到 配置 选项卡 → 多因素身份验证 → SAML 验证 → ACS URL/Recipient URL。复制 ACS URL/Recipient URL.

   • 如果您的身份提供商需要服务提供商的元数据，请点击 下载 SP 元数据 并下载一个您的 SAML 配置的 XML 文件。

7. 点击 下一步。

8. 在 反馈 中，选择一个适当的响应，然后点击 完成。

9. 新建应用程序的 登录 选项卡出现。通过点击 身份提供者元数据 链接，下载元数据文件。配置 ADSelfService Plus 中的 SAML 验证 时需要此文件。请保存此文件并妥善保管。将下载的元数据文件重命名为 'metadata_okta.xml'。

   

10. 点击 分配 选项卡并导航到 分配。根据需要，选择 分配给人员 或 分配给组。选择选项后，点击 保存并返回 按钮。

11. 点击 完成。

B. 在 OneLogin 中设置 SAML 应用程序：

1. 使用管理员凭据登录 OneLogin 网页控制台。
2. 点击 管理 按钮。
3. 导航到 应用 选项卡 → 添加应用。

4. 在 查找应用 区域找到 SAML。从搜索结果中选择 SAML 测试连接器 (IdP)。

   

5. 更新 显示名称 和应用程序徽标。点击 保存。

6. 在 配置 标签下，将 ACS URL/Recipient URL 输入到 ACS (消费者) URL 验证器, ACS (消费者) URL, 接收者 和 受众 字段。

   注意:

   • ACS URL/Recipient URL: 使用管理员凭据登录到 ADSelfService Plus 网页控制台。导航到 配置选项卡 → 多因素认证 → SAML 验证 → ACS URL/Recipient URL。 复制 ACS URL/Recipient URL.
   • 如果您的身份提供者需要服务提供者的元数据，请点击 下载 SP 元数据 并下载一个 SAML 配置的 XML 文件。
7. 点击 用户 选项卡，并根据需要将应用分配给用户或组。

8. 在顶部面板的 更多操作 按钮中，选择 SAML 元数据

   下载元数据文件。在配置 ADSelfService Plus 中的 SAML 身份验证时，您需要此文件。因此，请保存此文件并妥善保管。

   

9. 点击 保存。

C. 在 AD FS 中设置 SAML 应用程序：

先决条件：

要在 ADSelfService Plus 中配置 AD FS 进行身份验证，您需要以下组件：

1. AD FS 服务器。有关安装和配置 AD FS 的详细步骤可在此 Microsoft 文章中找到。
2. 用于签署 AD FS 登录页面的 SSL 证书及该证书的指纹。

配置步骤

声明规则和信赖方信任

在配置过程中，您需要添加一个信赖方信任并创建声明规则。

信赖方信任是为通过验证声明建立两个应用程序间的认证连接而创建的。在此情况下，AD FS 将信任信赖方（ADSelfService Plus），并根据生成的声明进行用户认证。

声明是通过对声明规则应用某些条件生成的。声明是用于确定实体访问的属性。例如，Active Directory sAMAccountName。

步骤 1：添加信赖方信任

• AD FS 和 ADSelfService Plus 之间的连接是使用 信赖方信任 (RPT) 创建的。从 AD FS 中选择信赖方信任文件夹。


• 从 操作 边栏中选择 添加信赖方信任。将打开 添加信赖方信任向导。

  

• 点击 开始。

• 在 选择数据源 页面上，点击 手动输入关于方的数据 选项并点击 下一步。

  

• 在 指定显示名称 页面上，输入您选择的显示名称，如有必要还可添加备注。点击 下一步。

  

• 在 选择配置文件 页面上，点击 ADFS FS 配置文件 按钮。点击 下一步。

  配置证书屏幕上，默认设置已应用。点击下一步。

  

• 在配置URL屏幕上，勾选标记为启用SAML 2.0 WebSSO协议支持的框。依赖方SAML 2.0 SSO服务URL将是您的ADSSP服务器的ACS URL。注意URL末尾没有斜杠。例如：

  https://selfservice.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f 

• 在下一个屏幕中，在依赖方信任标识符选项中，添加SP发行者URL（例如：https://selfservice.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f)

  

• 在下一个屏幕中，您可以选择为依赖方信任配置多因素认证设置。点击下一步。

• 在选择发行授权规则屏幕中，您可以选择允许所有用户访问此依赖方或拒绝所有用户访问此依赖方。点击下一步。

• 接下来的两个屏幕将显示您所配置设置的概述。在完成屏幕上，点击关闭以退出向导。如果您选择了在向导关闭时为此依赖方信任打开编辑声明规则对话框选项，声明规则编辑器将自动打开。

  

步骤2：创建声明规则

配置依赖方信任后，您可以使用声明规则编辑器创建声明规则，该编辑器在创建信任完成后默认打开。

• 要创建新规则，请点击添加规则。

  

• 从可用声明规则模板列表中，选择发送LDAP属性作为声明。点击下一步。

  

• 在下一页，提供一个 声明规则名称 并选择 Active Directory 作为属性存储。

• 在 LDAP 属性 列中，选择 SAMAccountName.

• 在 传出声明类型 列中，选择 Name ID.

• 点击 完成 以保存规则。

• 点击 完成，您可以查看已创建的规则。

  

完成 AD FS 配置后，通过点击 身份提供方元数据链接 下载元数据文件。例如:
 https://server_name/FederationMetadata/2007-06/FederationMetadata.xml. 

在配置 ADSelfService Plus 中的 SAML 身份验证时需要此文件。因此，请保存该文件并妥善保管。

步骤 3: 启用 SAML 注销选项

• 导航到 中继方信任 并找到您创建的 规则。

• 右键点击所选规则并点击 属性。

• 在打开的窗口中，找到 端点 标签并点击 添加 SAML 按钮。

  

• 在 受信任的 URL 中，粘贴从步骤 1的先决条件中复制的 SP 注销 URL。

• 在 签名 标签中，上传来自步骤 4的先决条件的 PEM 格式的 X.509 证书。

• 点击 确定。

ADSelfService Plus 的 IdP 启动单点登录

按照以下步骤通过 AD FS 验证您的 ADSelfService Plus 帐户。

先决条件

在 AD FS 中启用 RelayState。

• 对于 Windows Server 2012:

  • 在您的 AD FS 服务器中，导航到
    %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config 文件。

  • 在 <microsoft.identityServer.web> 部分中，输入以下代码: <useRelayStateForIdpInitiatedSignOn enabled="true" />

    示例代码:

    <microsoft.identityServer.web>
    …..
    <useRelayStateForIdpInitiatedSignOn enabled="true" />
    </microsoft.identityServer.web>

  • 重启 AD FS 服务器。

• 对于 Windows Server 2016:

  • 在您的 AD FS 服务器中，以管理员身份打开 Powershell。

  • 运行以下命令以启用 IdP 启动的 SSO:
    Set-ADFSProperties -EnableIdPInitiatedSignonPage $true

  • 运行以下代码以启用 RelayState:
    Set-ADFSProperties -EnableRelayStateForIDPInitiatedSignon $true

  • 重启ADFS服务器。

生成IdP URL的步骤：

• 使用管理员凭据登录ADSelfService Plus网页控制台。

• 导航到管理选项卡 → SSO设置。

• 在SAML认证的服务提供商详情部分中，复制中继状态和SP发布者URL。

• 打开一个文字处理器并输入以下命令：
  <IdP_URL_字符串>RelayState=RPID=<SP_Issuer_URL>&RelayState=<Relay State>

  注意：在IdP URL字符串的位置，输入https://<ADFS服务器>/adfs/ls/idpinitiatedsignon.aspx，其中ADFS服务器为部署ADFS的服务器。

• 给该文字文件命名，并保存。对已保存的URL进行编码。

  示例代码：

  编码后的代码将如下所示：

  https://example.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fselfservice-0001%253A9267%252FsamlLogin%252F88d9537b8c5f7376fc78fdfb7591601e85aa8ebb%26RelayState%3DaHR0cHM6Ly9raXJ1YmhhLTUyNTg6OTI2Ny9zYW1sTG9naW4vTG9naW5BdXRo

D. 在Line Works中设置SAML应用程序的步骤

1. 登录Line Works开发者控制台。转到应用部分 > SAML应用，点击添加到按钮。

   

2. 在打开的窗口中，在相应字段中提供合适的应用程序名称、描述和徽标。

3. 在ACS URL字段和发布者URL/实体ID，以及ADSelfService Plus的ACS URL/接收者URL中输入。

   注意：ACS URL/接收者URL：使用管理员凭据登录ADSelfService Plus网页控制台。导航到配置选项卡 → 多因素认证 → SAML认证 → ACS URL/接收者URL。复制ACS URL/接收者URL。

   

4. 在打开的弹出窗口中，点击确定。

5. 转到SAML应用部分，找到您刚创建的应用程序。点击更改按钮，并将状态更改为"有效"。点击保存。

   

E. 在Microsoft Azure AD中设置SAML应用程序的步骤

1. 使用全局管理员凭据登录Microsoft Azure。
2. 前往Azure Active Directory → 企业应用程序 → 所有应用程序。
3. 选择新建应用程序。

   

4. 点击创建你自己的应用程序。

   

5. 在出现的弹出窗口中，为 ADSelfService Plus 输入一个名称。选择整合任何其他您在应用程序库中找不到的应用程序单选按钮，然后点击创建。

   

6. 在下一页中，选择设置单点登录。

   

7. 选择SAML，然后在基础 SAML 配置下点击编辑。填写在前提条件步骤 4中复制的以下详细信息：
   • 标识符：SP 发行者 URL
   • 回复 URL：ACS URL/接收者 URL
   • 中继状态：中继状态
   • 登录 URL：ADSelfService Plus 的访问 URL

   

8. 导航到SAML 签名证书，然后点击添加证书。在此，您可以创建一个新的 SAML 签名证书，上传已生成的自签名证书，或上传从 CA 获得的证书。
   • 导入证书：点击导入证书。
   • 上传证书并输入PFX 密码。

     

     
     

     

   • 添加新证书：点击新证书，然后点击保存。

     

     
     

     

   • 在证书条目中点击图标，并选择启用证书。

     

9. 关闭页面后，点击下载按钮旁边的联合元数据 XML下载元数据文件。

   

10. 完成 ADSelfService Plus (SP) 配置步骤后，通过点击测试来测试单点登录功能。