Um SAML- und SAML- und Passthrough-Authentifizierungsmethoden in Horizon zu konfigurieren, müssen Sie die Metadaten-XML-Datei des Identitätsanbieters für das SAML-Zertifikat in UAG (Unified Access Gateway) hochladen. Mit dem Hochladevorgang kann UAG dem Identitätsanbieter vertrauen, indem er die Signatur einer Assertion unter Verwendung des öffentlichen Schlüssels des Identitätsanbieters überprüft.

Voraussetzungen

Sie müssen die XML-Datei der SAML-Metadaten vom Identitätsanbieter heruntergeladen und diese Datei auf einem Computer gespeichert haben, auf den Sie zugreifen können.

Prozedur

  1. Klicken Sie im Abschnitt Manuell konfigurieren der UAG-Verwaltungskonsole auf Auswählen.
  2. Wählen Sie im Abschnitt Erweiterte Einstellungen > Einstellungen für Identity Bridging das Zahnradsymbol Metadaten des Identitätsanbieters hochladen.
  3. Geben Sie die Element-ID für den Identitätsanbieter im Textfeld Element-ID ein.
    Wenn Sie im Textfeld „Element-ID“ keinen Wert eingeben, wird der Name des Identitätsanbieters in der Metadatendatei gesucht und als Element-ID für den Identitätsanbieter verwendet.
  4. Klicken Sie im Abschnitt IDP-Metadaten auf Auswählen und navigieren Sie zu dem Speicherort, an dem Sie die Metadatendatei gespeichert haben.
  5. Wählen Sie PEM als Zertifikatsformattyp aus dem Dropdown-Menü Verschlüsselungszertifikatstyp aus.
    Hinweis: Sie müssen PEM auswählen, wenn Sie die verschlüsselte Assertion verwenden möchten, um die SAML-Authentifizierung zu validieren. Für die Verschlüsselung und Entschlüsselung der Assertion ist eine Kombination aus öffentlichem und privatem Schlüssel erforderlich. Der Identitätsanbieter verschlüsselt die Assertion mit einem öffentlichen Schlüssel, der von UAG nur mit einer Kombination aus öffentlichem und privatem Schlüssel entschlüsselt werden kann, wodurch eine erhöhte Sicherheit gewährleistet wird.
  6. Klicken Sie für Privater Schlüssel auf Auswählen und navigieren Sie zu dem Speicherort, an dem Sie den privaten Schlüssel für das Zertifikat im PEM-Format gespeichert haben.
  7. Klicken Sie für Zertifikatskette auf Auswählen und navigieren Sie zu dem Speicherort, an dem Sie die Zertifikatskette im PEM-Format gespeichert haben.
  8. Um die Option Unverschlüsselte SAML-Assertionen zulassen zu aktivieren, aktivieren Sie die Umschaltoption. Wenn die Umschaltoption deaktiviert ist, sind unverschlüsselte Assertionen während der SAML-Authentifizierung nicht zulässig.
  9. Um die Funktion SAML-Authentifizierung immer erzwingen zu aktivieren, aktivieren Sie die Umschaltoption. Wenn die Umschaltoption aktiviert ist, wird dem Benutzer immer die SAML-Authentifizierungsseite angezeigt, wenn dieser Identitätsanbieter verwendet wird, vorausgesetzt, der IDP ist ebenfalls so konfiguriert, dass er SAML-Authentifizierung erzwingt.
    Hinweis: Wenn Sie die Funktion SAML-Authentifizierung immer erzwingen aktivieren, wird SAML ForceAuthn="true" als Attribut für die Authentifizierungsanforderung (AuthnRequest) an den Identitätsanbieter (IdP) festgelegt. Der Identitätsanbieter wird angewiesen, bei der Authentifizierung des Benutzers jeglichen vorherigen Sicherheitskontext zu ignorieren.
  10. Klicken Sie auf Speichern.
    Die folgende Meldung wird angezeigt: Konfiguration wurde erfolgreich gespeichert.

    In UAG werden die Zertifikatdetails der hochgeladenen IDP-Metadaten angezeigt.

    Alle nicht verwendeten IDP-Metadaten können gelöscht werden.

Nächste Maßnahme

Konfigurieren Sie die Horizon-Einstellungen in UAG, um die Authentifizierungsmethode auszuwählen und den erforderlichen Identitätsanbieter auszuwählen.