添加应用
OneAccess提供自建应用和预集成应用的添加,您可以根据企业需要添加。
添加自建应用
自建应用指企业的自研应用、不在预集成应用列表中的SaaS类或商业应用等。
- 登录OneAccess管理门户。
- 在导航栏中,单击“资源 > 应用”。
- 在企业应用页面,单击自建应用下的“添加自建应用”。
- 在添加应用页面,设置应用LOGO、输入应用名称,单击“保存”,应用添加完成,应用列表中显示已添加的应用。
- 添加应用后,需要配置相关参数,才可正常使用,详情请参考应用管理。
添加预集成应用
预集成应用指OneAccess根据应用的开发接口、相应协议已提前集成的应用。
- 登录OneAccess管理门户。
- 在导航栏中,单击“资源 > 应用”。
- 在企业应用页面,单击预集成应用下的“新增预集成应用”。
- 在新增预集成应用页面,单击需要的预置应用。
- 在添加应用页面,编辑通用信息,设置应用名称,单击“下一步”。
- 配置认证参数。不同应用的认证集成方式可能不同,需配置的认证参数也不同。
下面以SAML协议为例,说明认证集成参数的配置方法。OneAccess支持“上传文件”和“手动编辑”两种配置方法,选择其中一种即可。
- 上传元数据
- 单击认证参数配置页面的“导入SP应用元数据”。
- 单击“选择文件”,选择获取的应用SP的元数据文件。
- 如果提示“请上传正确的文件类型”,需要您确认元数据文件的正确性后,重新上传或者通过手动编辑提取元数据。
- 企业应用的元数据获取方法请参考企业应用的帮助文档。
- 待“选择文件”变为“√”时,即系统已提取元数据,单击“下一步”,应用添加完成。
- 手动编辑元数据
- 单击“手动输入配置数据”。
- 在手动编辑元数据页面,输入从SP元数据文件中获取的“Entity ID”、“Audience URI”等参数。
图1 编辑元数据
表1 认证参数 参数
说明
* SP Entity ID
SP唯一标识,对应SP元数据文件中的“Entity ID”的值。
* 断言消费地址(ACS URL)
SP回调地址(断言消费服务地址),对应SP元数据文件中“AssertionConsumerService”的值,即当OneAccess认证成功后响应返回的地址
* Name ID
用户在应用系统中的账号名对应字段,可以选择用户的属性或者对应的账号属性,此字段的值将作为断言中的subject。
NameID Format
SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。
Audience URI
允许使用SAML断言的资源,默认和SP Entity ID相同。
Single Logout URL
服务提供商提供会话注销功能,用户在OneAccess注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。
Relay State
用户在OneAccess登录成功后默认跳转的URL。
Reponse签名
是否对SAML Response使用IDP的证书签名。
断言签名
是否对断言使用IDP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。
数字签名算法
SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160,可在下拉框选择。
数字摘要算法
SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160,可在下拉框选择。
断言加密
是否对断言进行加密。
验证请求签名
是否对SAML Request签名进行验证,对应SP元数据文件中“AuthnRequestsSigned”值。
* 验证签名证书
SP公钥证书,用来验证SAML request的签名,对应SP元数据文件中use="signing"证书内容。
- 上传元数据
- 配置同步参数。不同应用的同步集成方式可能不同,需配置的同步参数也不同。
下面以配置Coremail为例,说明同步集成参数的配置方法。
- 配置认证参数后,单击“下一步”。
- 在同步配置页面,填写参数,单击“测试”可测试配置的正确性,配置完成后,单击“下一步”,完成添加应用。如需配置其他菜单,请参考应用管理。
