对基于SAML的自定义应用程序进行单点登录

有了单点登录(SSO)，用户无需记住每一不同的密码，实际上，他们可一键访问多个应用程序。大多数云应用程序对SSO提供了内置支持，但您的自定义企业应用程序能否支持？您如何对这些应用程序提供SSO？

ADSelfService Plus，一个集成的自服务密码管理和单点登录解决方案，允许您为任何支持SAML的应用程序提供基于Active Directory的SSO。。一旦使用Active Directory域凭证，用户可以轻松地登录其Windows机器。一旦他们成功地登录，他们可无缝地访问任何启用SAML的企业应用程序（在Windows中用SSO配置），无需输入其用户名和密码。而且，如果您在ADSelfService Plus中启用了NTLM SSO，那么只需在一次单击中登录到Windows就足以让用户访问所有应用程序。

配置步骤

下方的步骤指导您在ADSelfService Plus和自定义SAML应用程序之间设置单点登录功能。

第一步: 在ADSelfService Plus中添加自定义程序

• • 以管理员身份登录到ADSelfService web控制台。
• • 打开配置 → 自助服务 → 密码同步/单点登录。
• • 点击右上角的新建自定义应用。

  
  自定义SAML应用单点登录配置

• • 输入应用名称。
• • 选择应用的类别。如，分析工具或CRM。
• • 选择支持的SSO流选项。

  注意：请与应用程序服务提供商联系，了解支持的SSO流。

• • 点击下一步。

高级配置部分不是强制的。但是如果应用程序支持特定的RSA-SHA算法，或者您希望SAML响应未签名，那么单击高级配置并更新设置。

告警配置:

这部分允许您特定配置应用程序。

• • 上传两种尺寸的应用图标。
• • 根据您的应用程序支持的加密选择RSA-SHA1或者RSA-SHA256算法。
• • 选择SAML回应 (已签名/未签名)。

  注意：SAML默认签名。

• • 点击下一步。

第二步:配置SSO自定义应用程序

• • 在域名称字段中，输入您的电子邮件地址的域名。例如，johndoe@mydomain.com登录应用, 那么mydomain.com就是域名。
• • 输入显示名称，以便连接。
• • 基于您之前选择的SSO流，输入所需的详细信息。
  1. 1. 如果您仅选择SP流：
     • 在SAML重定向URL字段中，输入SAML重定向URL字段应用服务供应商。URL值可以在应用程序的默认登录页面或SSO配置页面中找到。
     • 输入应用供应商提供的 (ACS) URL。这个值也可以在应用程序的SSO配置页面中找到。
  2. 2. 如果您仅选择 IdP 流或者同时选择SP 及IdP流:
     • • 在ACS URL字段中，输入ACS URL应用服务供应商。这个值也可以在应用程序的SSO配置页面中找到。
     • • 在实例ID字段中，输入您的应用程序服务提供者所提供的实体的ID。这个值也可以在应用程序的SSO配置页面中找到。
• • 在相关字段中提供描述。
• • 在可用策略字段中，选择您希望启用单点登录的策略。
• • 点击保存。

注意:保存配置后，点击右上角下载证书链接。在SSO/SAML明细弹出窗口中，复制登录URL注销URL、帮助URL和SHA fingeprint值，或者根据应用程序的要求下载所需的证书。在应用程序终端完成配置需要这些内容。

配置完成后，登录到ADSelfService Plus的用户可以自动登录到自定义企业应用程序，而无需输入用户名和密码。

注意:在相同应用程序中添加新域，在应用列表中定位，按照配置自定义应用步骤设置。