您可以配置 SAML 身份验证方法,以便对拥有管理 UI 的管理员访问权限的用户进行身份验证。这会将身份验证和授权委派给外部 SAML 2.0 身份提供程序 (Identity Provider, IdP),而 Unified Access Gateway 管理 UI 则充当 SAML 服务提供程序 (Service Provider, SP)。当用户使用 https://<<uag-fqdn>>:9443/admin
访问 Unified Access Gateway 管理 UI 时,他们会被重定向到外部 IdP,在该 IdP 中,系统会提示用户输入凭据。如果正确通过身份验证并获得授权,用户会被重定向回 Unified Access Gateway 并自动登录。
必须在 IdP 上专门为 Unified Access Gateway 管理员创建 SAML 应用程序。从此 IdP 应用程序中导出的 SAML 元数据可用于在 Unified Access Gateway 上配置 SAML 信任。由于这是完全联合的 SAML 集成,因此无需单独向 Unified Access Gateway 添加管理员用户。
可以将 IdP SAML 应用程序分配给特定用户或用户组以向其授予管理员访问权限,并且会在已签署的 SAML 断言 NameID 字段中收到已授权管理员的用户名。如果 IdP 对 SAML 断言进行加密,则必须在上载身份提供程序元数据时为 Unified Access Gateway 配置加密证书。IdP 使用此证书的公钥对断言进行加密。由 Unified Access Gateway 生成的 AuthNRequest 使用面向公众的 TLS 证书进行签名。
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“高级设置”下,选择“帐户设置”齿轮箱图标。
- 在“帐户设置”窗口中,单击 SAML 登录配置,然后完成相应设置。
- 打开启用 SAML 身份验证切换开关以启用该设置。
- 从下拉菜单中选择身份提供程序。
注:
- 如果之前已上载身份提供程序元数据文件,则可在下拉菜单中选择该身份提供程序。
- 在身份提供程序的管理控制台上,使用以下设置配置 SAML。
选项 描述 单点登录 URL 输入断言使用者服务 URL,格式为: https://<<uag-fqdn>>:9443/login/saml2/sso/admin
受众 URI (SP 实体 ID) 输入受众 URL,格式为: https://<<uag-fqdn>>:9443/admin
SP 颁发者 如果需要,输入 SP 颁发者,格式为: https://<<uag-fqdn>>:9443/admin
有关配置身份提供程序以及将身份提供程序元数据文件上载到 UAG 的信息,请参阅使用 Unified Access Gateway 信息配置身份提供程序和将身份提供程序的 SAML 元数据上载到 Unified Access Gateway。
- 打开使用管理员证书签名切换开关,以使用管理接口 TLS 证书对 SAML 身份验证请求进行签名。如果关闭,将使用面向 Internet 的 TLS 证书对 SAML 身份验证请求进行签名。
- (可选)如果要为多个 Unified Access Gateways 配置管理员 SAML,请输入静态 SP 实体 ID。在要为多个 Unified Access Gateway 配置管理员 SAML 时,此选项非常有用,因为它无需在 IdP 上为每个 Unified Access Gateway 创建单独的 SAML 应用程序。
- 使用静态实体 ID 在 IdP 中创建 SAML 应用程序。
- 配置 SAML 应用程序以验证入站 SAML 身份验证请求签名。请求验证成功后,IdP 会将 SAML 断言响应发送到 SAML 身份验证请求的断言使用者 URL。
- 为每个 Unified Access Gateway 配置相同的静态实体 ID。
注: 如果未输入任何 静态 SP 实体 ID,则来自 UAG 的 SAML 身份验证请求中的颁发者值将默认为管理门户的 URL。例如,https://<uagip>:9443/portal
。但是,如果提供了 静态 SP 实体 ID,则颁发者的值是静态实体 ID。 - 单击保存。
此时将应用身份验证更改,并且管理员用户会自动从管理 UI 注销。下次登录时,Unified Access Gateway 会将管理员的登录请求重定向到身份提供程序,如果身份验证成功,身份提供程序会向管理员授予访问权限。