更新时间:2024-12-18 GMT+08:00
分享

配置SAML认证源

概述

为方便企业用户的认证登录,OneAccess平台支持配置SAML协议作为认证源,用户可以通过SAML协议认证登录各应用系统,为企业用户带来更简易便捷的登录方式和更好的用户体验。

本章节为您介绍配置SAML认证源的相关操作。

基本概念

  • 身份提供商(Identity Provider,简称IdP)负责收集、存储用户身份信息,如用户名、密码等,在用户登录时负责认证用户的服务。在企业与OneAccess身份认证的过程中,身份提供商指企业自身的身份提供商。
  • 服务提供商(Service Provider,简称SP)服务提供商通过与IdP建立信任关系,使用IdP提供的用户信息,为用户提供具体的服务。在企业与OneAccess身份认证的过程中,服务提供商指OneAccess。
  • 单点登录(Single Sign-On,简称SSO)用户在企业IdP系统登录后,就可以通过跳转链接访问已建立互信关系的SP系统,这一过程称之为单点登录。如企业IdP与OneAccess建立互信关系后,企业IdP中的用户通过OneAccess提供的登录入口,使用已有的账号密码在企业IdP中登录后,即可跳转访问OneAccess。
  • SAML2.0,安全断言标记语言(Security Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见SAML 2.0技术概述。OneAccess支持使用SAML2.0协议进行身份认证,因此与OneAccess建立身份认证的企业IdP必须支持SAML2.0协议。

本文主要介绍OneAccess以SAML集成第三方认证源的方法。

前提条件

  • 请确保您已拥有OneAccess管理门户的访问权限。
  • 请确保您拥有第三方身份提供商(IDP)的应用系统权限,且该身份提供商支持SAML认证。

建立IdP对OneAccess的信任关系

IdP中配置OneAccess的元数据文件,以建立IdP对OneAccess的信任。

  1. 下载OneAccess系统的元数据文件(metadata文件)。

    1. 登录OneAccess管理门户。
    2. 在导航栏中,选择“认证 > 认证源管理 > 企业认证源 > SAML”。
    3. 在SAML认证源页面,单击右上方的“SP元数据”,数据会自动下载到本地

  2. 1.c获取的文件上传到企业IdP服务器上,不同企业idP服务器,上传方法不同,具体请参考相应IdP提供商的帮助文档。
  3. 获取企业IdP的元数据文件。不同企业idP服务器,获取元数据方法不同,具体请参考相应IdP提供商的帮助文档。

在OneAccess中添加SAML认证源

在OneAccess中添加SAML认证源,配置身份提供商的元数据文件后,可以在OneAccess中建立对IdP的信任关系,使得企业用户可以通过idp访问OneAccess用户门户。

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择“认证 > 认证源管理 > 企业认证源 > SAML”。
  3. 在SAML认证源页面,单击右上方“添加认证源”,配置参数。

    图1 配置参数
    表1 配置参数

    参数

    是否必选

    说明

    图标

    支持png/jpg/gif 格式的图片,且图片大小不超过50K。建议尺寸32*32px。

    显示名称

    认证源的显示名称,支持自定义。如SAML认证。

    entityId

    对应IdP元数据文件中“entityID”的值。

    签名证书

    IdP的签名证书,可从IdP的元数据文件中获取。

    签名证书是一份包含公钥用于验证签名的证书。OneAccess通过元数据文件中的签名证书来确认用户身份认证过程中断言消息的可信性、完整性。

    绑定类型

    对应IdP元数据文件中“SingleSignOnService”地址支持的绑定类型。

    用户登录过程中发送SAML请求的方式。元数据文件中的“SingleSignOnService”需要支持HTTP Redirect或HTTP POST方式。

    SSO URL

    对应IdP元数据文件中“SingleSignOnService”的值。

    Logout URL

    对应IdP元数据文件中“SingleLogoutService” 的值

    服务提供商提供会话注销功能,用户在OneAccess注销会话后返回绑定的地址。

    关联源属性

    SAML断言中用户唯一属性名,需与应用映射配置中的应用系统属性名一致。如NameId。

    关联用户属性

    SAML认证源对接OneAccess的映射属性。如用户ID,可在下拉框选择。

    未关联用户时

    当用户使用SAML认证源登录成功后,如未关联到系统用户时,可以根据该设置进行操作,如自动创建用户,可在下拉框选择。

    如果您需要同时映射其他属性,如用户名,可以设置“未关联用户时”为“自动创建用户”,设置是否更新已存在属性,通过单击“添加映射”完成。可参考表2

    表2 映射参数

    参数

    说明

    用户属性名

    SAML应用对接OneAccess的映射属性,可在下拉框选择,如用户名。

    映射类型

    OneAccess与SAML应用之间用户属性的映射方式,可在下拉框选择,如认证源属性。

    说明:
    • 当选择“映射类型”为“认证源属性”时,需要同时输入“认证源属性名”。
    • 当选择“映射类型”为“固定属性值”时,需要同时输入“固定属性值”。
    • 当选择“映射类型”为“脚本转换”时,需要同时输入“脚本内容”。

相关文档