Para configurar os métodos de autenticação SAML e SAML e Passagem no Horizon, você deve carregar o arquivo XML de metadados de certificado SAML do provedor de identidade para o UAG (Unified Access Gateway). O upload permite que o UAG confie no provedor de identidade verificando a assinatura de uma asserção usando a chave pública do provedor de identidade.
Pré-requisitos
Você deve ter baixado o arquivo XML de metadados SAML do provedor de identidade e salvado esse arquivo em um computador que você pode acessar.
Procedimento
- Na seção Configurar Manualmente do console de Administração do UAG, clique em Selecionar.
- Na seção selecionar o ícone de engrenagem de Carregar metadados do provedor de identidade.
- Insira a ID da entidade para o provedor de identidade na caixa de texto ID da entidade .
Se não for inserido um valor na caixa de texto ID da entidade, o nome no provedor de identidade no arquivo de metadados será analisado e usado como a ID da entidade do provedor de identidade.
- Na seção Metadados IDP, clique em Selecionar e navegue até o local onde você salvou o arquivo de metadados.
- Selecione PEM como o tipo de formato de certificado no menu suspenso Tipo de certificado de criptografia.
Observação: Você deverá selecionar PEM se quiser usar a asserção criptografada para validar a autenticação SAML. A criptografia e a descriptografia da asserção exigem uma combinação de chave pública e privada. O provedor de identidade criptografa a asserção com uma chave pública que pode ser descriptografada pelo UAG somente com uma combinação de chave pública e privada, garantindo assim segurança reforçada.
- Para a Chave Privada, clique em Selecionar e navegue até o local em que você salvou a chave privada para o certificado no formato PEM.
- Para a Cadeia de certificados, clique em Selecionar e navegue até o local em que você salvou a cadeia de certificados no formato PEM.
- Para ativar a opção Permitir asserções SAML não criptografadas, ative a opção. Se a opção estiver desativada, asserções não criptografadas não serão permitidas durante a autenticação SAML.
- Para ativar a função Sempre forçar a autenticação SAML, ative a opção. Quando a opção está ativada, ela sempre força a página de autenticação SAML a ser apresentada ao usuário quando esse provedor de identidade é usado, desde que o IDP também esteja configurado para forçar a autenticação SAML.
Observação: Se você ativar a função
Sempre forçar a autenticação SAML, o
SAML ForceAuthn="true"
será definido como um atributo para AuthnRequest para o IdP. O IdP é notificado para ignorar qualquer contexto de segurança anterior ao autenticar o usuário.
- Clique em Salvar.
A seguinte mensagem é exibida:
A configuração foi salva com sucesso.
O UAG mostra os detalhes do certificado de metadados IDP carregados.
Todos os metadados do IDP não utilizados podem ser excluídos.
O que Fazer Depois
Defina as configurações do Horizon no UAG para selecionar o método de autenticação e escolher o provedor de identidade necessário.