您必须在 Unified Access Gateway 设备上生成 SAML 元数据,然后与服务器交换元数据以建立智能卡身份验证所需的相互信任关系。

安全断言标记语言 (SAML) 是一种基于 XML 的标准,用于在不同安全域之间描述和交换身份验证及授权信息。SAML 使用称为 SAML 声明的 XML 文档在身份提供程序与服务提供程序之间传递有关用户的信息。在此方案中,Unified Access Gateway 是身份提供程序,服务器是服务提供程序。

前提条件

  • 可以在 Unified Access Gateway 设备上配置时钟 (UTC) 以使设备具有正确的时间。例如,在 Unified Access Gateway 虚拟机上打开控制台窗口,并使用箭头按钮选择正确的时区。还要确认 ESXi 主机时间与 NTP 服务器进行同步,并且在设备虚拟机中运行的 VMware Tools 将虚拟机上的时间与 ESXi 主机上的时间进行同步。
    重要说明: 如果 Unified Access Gateway 设备上的时钟与服务器主机上的时钟不匹配,智能卡身份验证可能无法正常工作。
  • 获取可用于对 Unified Access Gateway 元数据进行签名的 SAML 签名证书。
    注: 如果在您的设置中具有多个 Unified Access Gateway 设备,VMware 建议您创建并使用特定的 SAML 签名证书。在这种情况下,必须为所有设备配置相同的签名证书,以使服务器可以接受来自任何 Unified Access Gateway 设备的断言。在使用特定的 SAML 签名证书时,所有设备中的 SAML 元数据是相同的。
  • 如果尚未执行此操作,请将 SAML 签名证书转换为 PEM 格式文件,并将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行 PEM 格式

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 高级设置部分,单击 SAML 设置齿轮箱图标。
  3. 单击 SAML 身份提供程序设置部分。
  4. 选择提供证书
  5. 要添加专用密钥文件,请单击选择并浏览到证书的专用密钥文件。
  6. 要添加证书链文件,请单击选择并浏览到证书链文件。
  7. 单击保存
  8. 主机名文本框中,输入主机名并下载身份提供程序设置。
  9. (可选)打开启用基于主机的颁发者切换开关,以使用您在步骤 8 中提供的主机名作为下载的 IDP 元数据中的颁发者主机。如果关闭此切换开关,则使用默认值 AP.LOCAL 作为颁发者主机。