更新时间:2024-09-24 GMT+08:00
分享

配置SAML远程认证

堡垒机与SAML平台对接,认证登录系统的用户身份。

本小节主要介绍如何配置SAML认证模式。

前提条件

  • 用户已获取“系统”模块管理权限。
  • 已在SAML创建用户,并获取SAML平台配置的相关信息。

操作步骤

  1. 登录堡垒机系统。
  2. 选择系统 > 系统配置 > 认证配置,进入远程认证配置管理页面。

    图1 配置远程认证

  3. “SAML认证配置”区域,单击“编辑”,弹出SAML认证配置窗口。

    图2 配置SAML认证
    表1 SAML域认证参数说明

    参数

    说明

    状态

    选择开启或关闭SAML远程认证,默认

    • ,表示开启SAML认证。在配置信息有效情况下,登录系统时呈现SAML认证入口。
    • ,表示关闭SAML认证。

    覆盖已有用户

    选择开启或关闭SAML覆盖功能,默认

    • ,表示开启覆盖,如果已存在同名账户,开启后将会覆盖已有账户。
    • ,表示不启用覆盖,如果已存在同名账户,SAML用户创建会失败。

    标识符(实体ID)

    获取idp上的元数据(Shibboleth IDP,默认配置在C:\Program Files (x86)\Shibboleth\IdP\metadata目录)

    标识符:填写entityID后续的部分。

    NameIdFormat

    获取idp上的元数据(Shibboleth IDP,默认配置在C:\Program Files (x86)\Shibboleth\IdP\metadata目录)

    NameIdFormat:建议取urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified。

    签名证书

    证书请填写idp中对应的FrontChannel的sigining证书。

    登录URL

    登录URL请填写协议HTTP-Redirect中对应的SingleSignOnService的Location地址。

    登出URL

    登录URL请填写协议HTTP-Redirect中对应的SingleSLogoutService的Location地址。

    回复URL

    默认Host为Localhost的IP,请您按照实际部署的情况去填写(如域名地址)。

  4. 单击“确认”,提交配置数据验证可达后,返回SAML配置项中,即可查看和管理SAML认证配置信息。

相关文档