认证源-SAML2认证
SAML2是一种用于安全性断言的标记语言(Security Assertion Markup Language 2.0),用户只需经过一次认证(使用账号及密码登录认证系统),就可以免登录直接访问其他相互信任的应用系统。
- 登录堡垒机系统。
- 单击
,将控制台切换到“管理控制台”模式。 - 在左侧导航树,选择“配置 > 用户配置 > 认证源”,进入认证源管理页面。
- 将光标悬停至“SAML2”上,单击“编辑”,右侧弹出配置窗口,参见表1配置SAML2服务器,单击“保存”。
表1 SAML2认证参数说明 参数名称
参数说明
状态
开启或关闭SAML2登录认证,开启后用户登录时才会尝试该认证源认证。
认证源名称
自定义名称,仅用于识别,不能重复。
认证源LOGO
单击“上传图片”,按要求从本地选择图片,可自定义登录页面的SAML2图标。
注销时自动退出SAML服务器
勾选后,SAML2认证用户退出堡垒机时,也会同步退出SAML2服务器,需同时配置IDP Logout URL地址。
IDP Login URL
配置SAML2服务器单点登录的地址,可在SAML2服务器启动后提供的安装页面中单击“显示元信息”界面中获取。
IDP Logout URL
配置SAML2服务器单点登出的地址,可在SAML2服务器启动后提供的安装页面中单击“显示元信息”界面中获取。
SP ACS URL
显示堡垒机的SAML2认证凭据校验(Assertion Consumer Service)地址,需将该地址填写到SAML2服务器配置中。
SAML2服务器证书
单击“上传证书”,从本地选择PEM证书文件,上传至堡垒机。
IDP Entity ID
配置SAML2服务器的实例ID。
SP Entity ID
显示堡垒机的实例ID,默认为USM。
认证通过后自动创建本地用户并绑定
勾选后,如果认证通过的用户在堡垒机中不存在,则会在堡垒机中自动创建该用户。
默认用户角色
选择认证通过后在堡垒机中自动创建的用户的角色。
admin用户映射
SAML2用户单点登录成功后,如果SAML2服务器返回的登录用户属性中含此属性名且其值与配置的属性值相同时,会将该用户映射为admin用户。
用户属性映射
配置堡垒机本地用户属性和SAML2服务器上用户属性的映射关系,默认存在用户名属性映射。
单击“添加”,可新增姓名、邮箱、电话、备注等用户属性。
将SAML2设置为默认登录方式
勾选后,访问堡垒机会自动跳转到SAML2登录页面进行认证。如果不勾选,需要单击SAML图标访问。
登录认证加密
勾选后,认证过程需对认证报文进行加密。
退出签名
勾选后,单点登出时会对退出请求报文数据签名。
下载元数据
单击可下载SAML2元数据。
时间调整
根据配置时间调整堡垒机与SAML2服务器之间的时间偏差,为负数则提前,为正数则延后,有效值-1440~1440,建议值为0。
