为管理 UI 配置 SAML 身份验证

您可以配置 SAML 身份验证方法，以便对拥有管理 UI 的管理员访问权限的用户进行身份验证。这会将身份验证和授权委派给外部 SAML 2.0 身份提供程序 (Identity Provider, IdP)，而 Unified Access Gateway 管理 UI 则充当 SAML 服务提供程序 (Service Provider, SP)。当用户使用 https://<<uag-fqdn>>:9443/admin 访问 Unified Access Gateway 管理 UI 时，他们会被重定向到外部 IdP，在该 IdP 中，系统会提示用户输入凭据。如果正确通过身份验证并获得授权，用户会被重定向回 Unified Access Gateway 并自动登录。

必须在 IdP 上专门为 Unified Access Gateway 管理员创建 SAML 应用程序。从此 IdP 应用程序中导出的 SAML 元数据可用于在 Unified Access Gateway 上配置 SAML 信任。由于这是完全联合的 SAML 集成，因此无需单独向 Unified Access Gateway 添加管理员用户。

注：从 Unified Access Gateway 2209 开始，如果启用了管理员 SAML 身份验证功能，具有“监控”角色的用户（低特权管理员）可以使用基本身份验证访问 API。如果启用了管理员 SAML 身份验证，则会自动禁用默认管理员（具有“管理员”角色和基本凭据）。或者，如果禁用了管理员 SAML 身份验证，则会自动启用默认管理员。如果为管理员配置了 SAML 身份验证，请确保为“监控”用户关闭密码-登录前切换开关。

可以将 IdP SAML 应用程序分配给特定用户或用户组以向其授予管理员访问权限，并且会在已签署的 SAML 断言 NameID 字段中收到已授权管理员的用户名。如果 IdP 对 SAML 断言进行加密，则会使用 Unified Access Gateway 中的公共 SSL 证书在 IdP 上配置此加密。

在管理 UI 的“手动配置”部分中，单击选择。
在“高级设置”下，选择“帐户设置”齿轮箱图标。

在“帐户设置”窗口中，单击 SAML 登录配置，然后完成相应设置。

打开启用 SAML 身份验证切换开关以启用该设置。

从下拉菜单中选择身份提供程序。

注：

如果之前已上载身份提供程序元数据文件，则可在下拉菜单中选择该身份提供程序。

在身份提供程序的管理控制台上，使用以下设置配置 SAML。

选项	说明
单点登录 URL	输入断言使用者服务 URL，格式为： `https://<<uag-fqdn>>:9443/login/saml2/sso/admin`
受众 URI (SP 实体 ID)	输入受众 URL，格式为： `https://<<uag-fqdn>>:9443/admin`
SP 颁发者	如果需要，输入 SP 颁发者，格式为： `https://<<uag-fqdn>>:9443/admin`

有关配置身份提供程序以及将身份提供程序元数据文件上载到 UAG 的信息，请参阅使用 Unified Access Gateway 信息配置身份提供程序和将身份提供程序的 SAML 元数据上载到 Unified Access Gateway。

单击保存。
此时将应用身份验证更改，并且管理员用户会自动从管理 UI 注销。下次登录时，Unified Access Gateway 会将管理员的登录请求重定向到身份提供程序，如果身份验证成功，身份提供程序会向管理员授予访问权限。

注：要恢复管理员配置设置并还原默认密码身份验证，请使用 adminrest 命令。有关更多信息，请参阅使用 adminreset 命令恢复管理员访问设置。