要将 UAG(服务提供程序)与身份提供程序集成,您必须使用服务提供程序信息(如实体 ID 和断言使用者端点 URL)配置身份提供程序。在这种情况下,UAG 是服务提供程序。
过程
- 登录到身份提供程序的管理控制台。
- 要创建 SAML 应用程序,请按照身份提供程序的管理控制台上的相应步骤进行操作。
如果身份提供程序具有加密断言功能,请确保在身份提供程序上所创建应用程序的 SAML 设置中禁用该功能。
- 通过以下方式之一使用 UAG 信息配置身份提供程序:
选项 说明 从 UAG 下载 SAML 服务提供程序元数据。 要将 SAML 元数据导入身份提供程序,请确保身份提供程序支持导入功能。
- 在 UAG 管理 UI 的手动配置部分中,单击选择。
- 对于 Edge 服务设置,在常规设置部分中,单击显示。
- 单击 Horizon 设置齿轮箱图标。
- 在 Horizon 设置页面上,单击更多。
- 选择身份验证方法。
身份验证方法可以是
SAML
、SAML and Passthrough
或SAML and Unauthenticated
。注: 如果选择SAML and Unauthenticated
,请确保按照 在 Unified Access Gateway 上配置用于 SAML 集成的 Horizon 设置中对此 身份验证方法的所述来配置 Horizon Connection Server 设置。 - 单击下载 SAML 服务提供程序元数据。
- 在下载 SAML 服务提供程序元数据窗口中,输入外部主机名。
- 单击下载。
- 将 .xml 元数据文件保存到您有权访问的计算机上的某个位置。
- 登录到身份提供程序的管理控制台。
- 将下载的元数据文件导入到身份提供程序中。
在身份提供程序的管理控制台上配置以下 SAML 设置。 - 将实体 ID 设置为 https://<uagIP/domain>/portal
- 将断言使用者端点 URL 设置为 https://<uagIP/domain>/portal/samlsso。
有关 Unified Access Gateway 与第三方身份提供程序集成的身份验证方法的详细信息,请参阅 Unified Access Gateway 和第三方身份提供程序集成的身份验证方法。 - (可选) 使用用户名配置自定义属性。
在 Unified Access Gateway 管理 UI 中,如果选择
SAML and Unauthenticated
作为身份验证方法,并且使用此处指定的相同属性名称配置 SAML 未验证用户名属性,那么在对 SAML 断言进行验证后,Unified Access Gateway 会向为此自定义属性配置的用户名提供未验证访问。要了解 Unified Access Gateway 如何为此用户名提供未验证访问,请参阅Unified Access Gateway 和第三方身份提供程序集成的身份验证方法。