配置SAML远程认证
堡垒机与SAML平台对接,认证登录系统的用户身份。
本小节主要介绍如何配置SAML认证模式。
前提条件
- 用户已获取“系统”模块管理权限。
- 已在SAML创建用户,并获取SAML平台配置的相关信息。
操作步骤
- 登录堡垒机系统。
- 选择
,进入远程认证配置管理页面。图1 配置远程认证
- 在“SAML认证配置”区域,单击“编辑”,弹出SAML认证配置窗口。
图2 配置SAML认证
表1 SAML域认证参数说明 参数
说明
状态
选择开启或关闭SAML远程认证,默认。
- ,表示开启SAML认证。在配置信息有效情况下,登录系统时呈现SAML认证入口。
- ,表示关闭SAML认证。
覆盖已有用户
选择开启或关闭SAML覆盖功能,默认。
- ,表示开启覆盖,如果已存在同名账户,开启后将会覆盖已有账户。
- ,表示不启用覆盖,如果已存在同名账户,SAML用户创建会失败。
标识符(实体ID)
获取idp上的元数据(Shibboleth IDP,默认配置在C:\Program Files (x86)\Shibboleth\IdP\metadata目录)
标识符:填写entityID后续的部分。
NameIdFormat
获取idp上的元数据(Shibboleth IDP,默认配置在C:\Program Files (x86)\Shibboleth\IdP\metadata目录)
NameIdFormat:建议取urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified。
签名证书
证书请填写idp中对应的FrontChannel的sigining证书。
登录URL
登录URL请填写协议HTTP-Redirect中对应的SingleSignOnService的Location地址。
登出URL
登录URL请填写协议HTTP-Redirect中对应的SingleSLogoutService的Location地址。
回复URL
默认Host为Localhost的IP,请您按照实际部署的情况去填写(如域名地址)。
- 单击“确认”,提交配置数据验证可达后,返回SAML配置项中,即可查看和管理SAML认证配置信息。