NSX Advanced Load Balancer 虚拟服务能够充当服务提供程序是支持安全断言标记语言 (SAML) 的关键所在。为了履行该职责,虚拟服务将身份验证请求发送到身份提供程序 (IdP),来自身份提供程序的响应控制用户对 NSX Advanced Load Balancer 池中运行的后端应用程序的访问。NSX Advanced Load Balancer 实施了多种第三方集成,以使客户能够选择 IdP。本节简要说明了启用 PingFederate 以作为 IdP 所需的步骤。
将 NSX Advanced Load Balancer 作为 SP,并将 PingFederate 作为 IDP
将 PingFederate 配置为 IDP
您需要使用以下步骤创建新的适配器实例。
在 PingFederate 仪表板上,导航到 IdP 配置,然后单击应用程序集成下面的适配器。
在管理 IdP 适配器实例下面,单击创建新的实例。
在类型选项卡上,输入实例名称和实例 ID,然后单击下一步。
在 IdP 适配器选项卡上,单击在“凭据验证器”中添加新的行以定义凭据身份验证。
选择一个密码凭据验证器实例,然后单击更新。
在扩展约定选项卡上,单击下一步。
在适配器属性选项卡上,选择化名和其他属性下面的用户名选项(如果可用),然后单击下一步。
在适配器约定映射选项卡上,单击下一步以验证摘要。
单击完成。
添加 SP 详细信息
登录到 PingFederate 管理控制台,导航到 ,然后单击新建。
在连接类型选项卡上,单击下一步。
在连接选项选项卡上,单击下一步。
在元数据 URL 屏幕上,单击下一步。
在常规信息选项卡上,输入如下所示的信息,然后单击下一步。
在浏览器 SSO 选项卡上,单击配置浏览器 SSO,在下一个屏幕上选择 SP 启动的 SSO 选项,然后单击保存。
在断言生命周期屏幕上,单击下一步。
在断言创建屏幕上,单击配置断言创建。
在身份映射选项卡上,选择标准,然后单击下一步。
在属性约定选项卡上,您可以选择默认约定,或者使用在断言中添加自定义用户属性的选项。单击下一步。
在身份验证源映射选项卡上,单击映射新的适配器实例。
在适配器实例屏幕上,选择适配器实例。
单击下一步。
如果您不需要使用其他属性,请单击第三个选项。
注:如果您需要使用其他属性,请跳过步骤 14 至 16 以直接转到步骤 17。
在属性约定履行屏幕上,选择详细信息,然后单击下一步。
单击颁发条件屏幕上的下一步,查看摘要,然后单击完成。
(如果不需要查找属性,请跳过后续步骤并转到步骤 23。)
如果您需要使用其他属性,请选择映射方法屏幕上的第二个选项,而不是步骤 14 中提到的第三个选项,然后单击下一步。
在属性源和用户查找屏幕上,单击添加属性源。
在下一个屏幕上选择您的数据存储,或者单击管理数据存储以添加新的数据存储。
如果您当前没有源,请添加一个新的源。
在添加数据存储后:在选择所需的列后,在“数据库表和列”屏幕上单击下一步/在“数据库筛选器”屏幕上,您可以使用 where 子句添加筛选器。在添加后,单击下一步。
在属性约定履行屏幕上,选择详细信息,然后单击下一步。单击颁发条件屏幕上的下一步,查看摘要,然后单击完成。
接下来,将显示身份验证源映射屏幕;单击下一步。您将转到摘要页面。单击完成。
将再次显示断言创建屏幕。单击下一步。
在协议设置部分中,单击配置协议设置。
在断言使用者服务 URL 屏幕上,输入端点 URL。
注:端点 URL 必须与 NSX Advanced Load Balancer 上的单点登录 URL 相同。
在允许的 SAML 绑定选项卡上,选择从 SP 到 IDP 的通信绑定,该绑定必须是重定向。
在签名策略屏幕上,单击下一步。
在加密策略屏幕上,单击下一步。
如果摘要是正确的,请单击完成。将再次显示协议设置屏幕;单击下一步。查看摘要,然后单击下一步。
将再次显示浏览器 SSO 选项卡;单击下一步。
在凭据下面,单击配置凭据。
在数字签名屏幕上,选择签名证书,然后单击下一步。
检查摘要,然后单击保存。
将再次显示凭据页面。单击下一步。验证其余配置,然后单击保存。
配置到此结束。可以使用以下步骤下载元数据:
单击身份提供程序,将转到控制台。
单击 SP 连接下面的管理全部。
对于要下载元数据的身份提供程序,单击选择操作,然后单击导出元数据。
在下一个屏幕上,选择签名证书,然后单击下一步。
单击导出,然后单击完成。
在 PingFederate 上创建应用程序的过程到此结束。
在 PingFederate 上完成配置时,按照“在 NSX Advanced Load Balancer 上配置 SAML”中提供的说明配置 NSX Advanced Load Balancer 虚拟服务以充当服务提供程序。
