Você pode configurar o método de autenticação SAML para autenticar os usuários com acesso de administrador à IU do administrador. Isso delega autenticação e autorização para um provedor de identidade (IdP) externo SAML 2.0 com um administrador Unified Access Gateway atuando como o Provedor de Serviços SAML (SP). Quando um usuário acessa a UI de administrador do Unified Access Gatewaycom https://<<uag-fqdn>>:9443/admin, é redirecionado para o IdP externo, no qual é solicitado a digitar suas credenciais. Se for autenticado corretamente e autorizado, ele será redirecionado de volta para o Unified Access Gateway e conectado automaticamente.

Um aplicativo SAML deve ser criado no IdP especificamente para o administrador do Unified Access Gateway. Os metadados SAML exportados desse aplicativo IdP são usados para configurar a confiança SAML no Unified Access Gateway. Trata-se de uma integração de SAML totalmente federada, de modo que não há necessidade de adicionar separadamente usuários administradores do Unified Access Gateway.

Observação: A partir do Unified Access Gateway 2209, um usuário com a função MONITORAMENTO (administrador com poucos privilégios) pode acessar as APIs usando a autenticação básica quando o recurso de Autenticação SAML do administrador está ativado. Quando a autenticação SAML para Administrador está ativada, o administrador padrão (com a função de ADMINISTRADOR e credenciais básicas) é desativado automaticamente. Como alternativa, quando a autenticação SAML para Administrador está desativada, o administrador padrão é ativado automaticamente. Se o administrador estiver configurado com autenticação SAML, certifique-se de desativar a opção Senha-Pré-login para o usuário de MONITORAMENTO.

O aplicativo SAML do IdP pode ser atribuído a usuários ou grupos de usuários específicos para conceder acesso de administrador, e o nome de usuário do administrador autorizado é recebido no campo NameID de declaração SAML assinado. Se o IdP criptografar asserções SAML, o Unified Access Gateway deverá ser configurado com um certificado de criptografia ao carregar os metadados do Provedor de Identidade. O IdP usa a chave pública desse certificado para criptografar a asserção. A AuthNRequest gerada pelo Unified Access Gateway é assinada usando o certificado TLS voltado para o público.

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Em Configurações avançadas, selecione o ícone de engrenagem de Configurações da conta.
  3. Na janela Configurações da Conta, clique em Configuração de Logon SAML e conclua as configurações
    1. Ative a opção Habilitar Autenticação SAML para ativar a configuração.
    2. Selecione o Provedor de Identidade no menu suspenso.
      Observação:
      • O provedor de identidade estará disponível para seleção no menu suspenso se você tiver carregado anteriormente o arquivo de metadados do provedor de identidade.
      • Use as configurações a seguir para a configuração de SAML no console de administração do provedor de identidade.
        Opção Descrição
        URL de single sign-on Digite a URL de serviço do consumidor de afirmação como

        https://<<uag-fqdn>>:9443/login/saml2/sso/admin
        URI do público-alvo (ID da entidade SP) Digite a URL do público-alvo como

        https://<<uag-fqdn>>:9443/admin
        Emissor SP Se necessário, digite o emissor SP como

        https://<<uag-fqdn>>:9443/admin

      Para obter informações sobre como configurar o provedor de identidade e carregar o arquivo de metadados do provedor de identidade para o UAG, consulte Configurar o provedor de identidade com informações do Unified Access Gateway e Carregar metadados SAML do provedor de identidade para o Unified Access Gateway.

  4. Ative a opção Assinar com o certificado de Administrador para assinar a solicitação de autenticação SAML usando o certificado TLS da interface de administração. Quando desativada, a solicitação de autenticação SAML é assinada usando o certificado TLS voltado para a Internet.
  5. (Opcional) Insira o Id de Entidade SP Estática se houver vários Unified Access Gateways a serem configurados com o SAML do administrador. Essa opção é útil quando há vários Unified Access Gateways a serem configurados com o SAML do administrador, pois elimina a necessidade de criar um aplicativo SAML individual no IdP para cada Unified Access Gateway.
    1. Crie um aplicativo SAML no IdP com uma ID de entidade estática.
    2. Configure o aplicativo SAML para verificar a assinatura da solicitação de autenticação SAML de entrada. Quando a verificação de solicitação for bem-sucedida, o IdP enviará a resposta da asserção SAML para a URL do consumidor de asserção da solicitação de autenticação SAML.
    3. Configure cada Unified Access Gateway com o mesmo Id de entidade estática.
    Observação: Quando você não insere nenhuma Id de Entidade SP Estática, o valor do emissor na solicitação de autenticação SAML originada do UAG é padronizado para a URL do portal de administração. Por exemplo, https://<uagip>:9443/portal. No entanto, quando a Id de Entidade SP Estática é fornecida, o valor do Emissor é a Id da Entidade Estática.
  6. Clique em Salvar.

    As alterações na autenticação são aplicadas e o usuário administrador faz logon automaticamente da IU do administrador. No próximo login, o Unified Access Gateway redireciona a solicitação de login do administrador para o provedor de identidade e, na autenticação bem-sucedida, o provedor de identidade fornece acesso ao administrador.

    Observação: Para reverter as definições de configuração do administrador e restaurar a autenticação de senha padrão, use o comando adminreset. Para obter mais informações, consulte Recuperar o administrador usando o comando adminreset.