Sie können die SAML-Authentifizierungsmethode konfigurieren, um die Benutzer mit Administratorzugriff auf die Verwaltungsoberfläche zu authentifizieren. Dadurch wird die Authentifizierung und Autorisierung an einen externen SAML 2.0-Identitätsanbieter (IdP) delegiert, wobei der Unified Access Gateway-Admin als SAML-Dienstanbieter (SP) fungiert. Wenn ein Benutzer mit https://<<uag-fqdn>>:9443/admin auf die Unified Access Gateway-Verwaltungsoberfläche zugreift, wird er an den externen IdP weitergeleitet, wo er zur Eingabe seiner Anmeldedaten aufgefordert wird. Wenn er korrekt authentifiziert und autorisiert ist, wird er zurück zu Unified Access Gateway umgeleitet und automatisch angemeldet.

Auf dem IdP muss eine SAML-Anwendung speziell für den Unified Access Gateway-Admin erstellt werden. SAML-Metadaten, die von dieser IdP-Anwendung exportiert werden, werden zur Konfiguration der SAML-Vertrauensstellung in Unified Access Gateway verwendet. Dies ist eine vollständige SAML-Verbundintegration, sodass es nicht notwendig ist, Admin-Benutzer separat zum Unified Access Gateway hinzuzufügen.

Hinweis: Ab Unified Access Gateway 2209 kann ein Benutzer mit der Rolle „ÜBERWACHUNG“ (Administrator mit geringen Rechten) auf die APIs mit einfacher Authentifizierung zugreifen, wenn die SAML-Authentifizierungsfunktion aktiviert ist. Wenn die SAML-Authentifizierung für den Administrator aktiviert ist, wird der Standardadministrator (mit ADMIN-Rolle und Standardanmeldedaten) automatisch deaktiviert. Wenn die SAML-Authentifizierung für den Administrator deaktiviert ist, wird alternativ der Standardadministrator automatisch aktiviert. Wenn der Administrator mit SAML-Authentifizierung konfiguriert ist, deaktivieren Sie die Umschaltoption Kennwort vor der Anmeldung für den ÜBERWACHUNG-Benutzer.

Die IdP-SAML-Anwendung kann bestimmten Benutzern oder Benutzergruppen zugewiesen werden, um Admin-Zugriff zu gewähren. Der Benutzername des autorisierten Administrators wird im Feld „NameID“ der signierten SAML-Assertion empfangen. Wenn der Identitätsanbieter SAML-Assertionen verschlüsselt, muss Unified Access Gateway beim Hochladen von Identitätsanbieter-Metadaten mit einem Verschlüsselungszertifikat konfiguriert werden. Der Identitätsanbieter verwendet den öffentlichen Schlüssel dieses Zertifikats, um die Assertion zu verschlüsseln. Die von Unified Access Gateway generierte AuthNRequest wird mit einem öffentlichen TLS-Zertifikat signiert.

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Wählen Sie unter „Erweiterte Einstellungen“ das Zahnradsymbol für die Kontoeinstellungen.
  3. Klicken Sie im Fenster „Kontoeinstellungen“ auf SAML-Anmeldekonfiguration und vervollständigen Sie die Einstellungen.
    1. Aktivieren Sie die Umschaltoption SAML-Authentifizierung aktivieren, um die Einstellung zu aktivieren.
    2. Wählen Sie im Dropdown-Menü den Identitätsanbieter aus.
      Hinweis:
      • Der Identitätsanbieter kann im Dropdown-Menü ausgewählt werden, wenn Sie zuvor die Identitätsanbieter-Metadatendatei hochgeladen haben.
      • Verwenden Sie die folgenden Einstellungen für die SAML-Konfiguration in der Verwaltungskonsole des Identitätsanbieters.
        Option Beschreibung
        URL für Single Sign-On Geben Sie die URL des Assertion-Consumer-Service wie folgt ein:

        https://<<uag-fqdn>>:9443/login/saml2/sso/admin

        Zielgruppe-URI (SP-Entitäts-ID) Geben Sie die Zielgruppen-URL wie folgt ein:

        https://<<uag-fqdn>>:9443/admin

        SP-Aussteller Geben Sie, falls erforderlich, den SP-Aussteller wie folgt ein:

        https://<<uag-fqdn>>:9443/admin

      Informationen zum Konfigurieren des Identitätsanbieters und zum Hochladen der Metadatendatei des Identitätsanbieters nach UAG finden Sie unter Konfigurieren des Identitätsanbieters mit Unified Access Gateway-Informationen und Hochladen von SAML-Metadaten des Identitätsanbieters in Unified Access Gateway.

  4. Aktivieren Sie die Umschaltoption Mit Admin-Zertifikat signieren, um die SAML-Authentifizierungsanforderung mithilfe des TLS-Zertifikats der Admin-Schnittstelle zu signieren. Wenn diese Option deaktiviert ist, wird die SAML-Authentifizierungsanforderung mit einem internetfähigen TLS-Zertifikat signiert.
  5. (Optional) Geben Sie die ID der statischen SP-Einheit ein, wenn mehrere Unified Access Gateways mit Admin-SAML konfiguriert werden müssen. Diese Option ist nützlich, wenn mehrere Unified Access Gateways mit Admin-SAML konfiguriert werden sollen, da dadurch die Notwendigkeit entfällt, für jedes Unified Access Gateway eine eigene SAML-Anwendung auf dem IdP zu erstellen.
    1. Erstellen Sie eine SAML-Anwendung im IdP mit einer statischen Entitäts-ID.
    2. "Konfigurieren Sie die SAML-Anwendung, um die eingehende Signatur der SAML-Authentifizierungsanforderung zu überprüfen." Wenn die Überprüfung der Anforderung erfolgreich ist, sendet der IdP die SAML-Assertion-Antwort an die Assertion-Verbraucher-URL der SAML-Authentifizierungsanforderung.
    3. Konfigurieren Sie jedes Unified Access Gateway mit derselben statischen Entitäts-ID.
    Hinweis: Wenn Sie keine ID der statischen SP-Einheit eingeben, wird der Wert von Issuer in der von UAG stammenden SAML-Authentifizierungsanforderung standardmäßig auf die URL des Admin-Portals gesetzt. Beispiel: https://<uagip>:9443/portal. Wenn jedoch die ID der statischen SP-Einheit angegeben wird, ist der Wert von Issuer die ID der statischen Einheit.
  6. Klicken Sie auf Speichern.

    Die Authentifizierungsänderungen werden übernommen, und der Admin-Benutzer wird automatisch von der Verwaltungsoberfläche abgemeldet. Bei der nächsten Anmeldung leitet Unified Access Gateway die Anmeldeanforderung des Admins an den Identitätsanbieter weiter, und bei erfolgreicher Authentifizierung gewährt der Identitätsanbieter dem Admin Zugriff.

    Hinweis: Um die Admin-Konfigurationseinstellungen wiederherzustellen und die Standardkennwortauthentifizierung wiederherzustellen, verwenden Sie den Befehl adminreset. Weitere Informationen finden Sie unter Wiederherstellen des Administrators mit dem Befehl „adminreset“.