要在 Horizon 中配置 SAML 以及 SAML 和直通身份验证方法,您必须将身份提供程序的 SAML 证书元数据 XML 文件上载到 UAG (Unified Access Gateway)。上载后,UAG 可以通过使用身份提供程序的公钥验证断言的签名来信任该身份提供程序。
前提条件
您必须已从身份提供程序下载了 SAML 元数据 XML 文件,并将此文件保存到您可以访问的计算机中。
过程
- 在 UAG 管理控制台的手动配置部分中,单击选择。
- 在部分中,选择上载身份提供程序元数据齿轮图标。
- 在实体 ID 文本框中输入身份提供程序的实体 ID。
如果您没有在“实体 ID”文本框中输入任何值,将会解析元数据文件中的身份提供程序名称,并将其用作身份提供程序的实体 ID。
- 在 IDP 元数据部分中,单击选择,然后浏览至已保存元数据文件的位置。
- 从加密证书类型下拉菜单中,选择 PEM 作为证书格式类型。
注: 如果要使用加密断言验证 SAML 身份验证,则必须选择“PEM”。对断言进行加密和解密需要组合使用公钥和私钥。身份提供程序使用公钥对断言进行加密,UAG 只能组合使用公钥和私钥进行解密,从而可确保增强的安全性。
- 对于私钥,单击选择,然后浏览到保存 PEM 格式证书私钥的位置。
- 对于证书链,单击选择,然后浏览到保存 PEM 格式证书链的位置。
- 要启用允许未加密的 SAML 断言选项,请打开此选项开关。如果关闭此选项开关,则在 SAML 身份验证期间不允许使用未加密的断言。
- 要启用始终强制执行 SAML 身份验证功能,请打开此选项开关。开启此切换开关后,如果 IDP 也配置为强制执行 SAML 身份验证,则在使用此身份提供程序时,将始终强制向用户显示 SAML 身份验证页面。
注: 启用
始终强制执行 SAML 身份验证功能时,
SAML ForceAuthn="true"
将设置为 IdP 的 AuthnRequest 的属性。在对用户进行身份验证时,将通知 IdP 忽略之前的任何安全上下文。
- 单击保存。
此时将显示以下消息:
已成功保存配置 (Configuration is saved successfully)。
UAG 显示上载的 IDP 元数据证书详细信息。
可以删除任何未使用的 IDP 元数据。
下一步做什么
在 UAG 上配置 Horizon 设置,以选择身份验证方法并选择所需的身份提供程序。