若要在 Horizon 中設定 SAML 和「SAML 和傳遞」驗證方法,您必須將身分識別提供者的 SAML 憑證中繼資料 XML 檔案上傳至 UAG (Unified Access Gateway)。此上傳會讓 UAG 藉由使用身分識別提供者的公開金鑰來驗證判斷提示的簽章,而能夠信任身分識別提供者。
必要條件
您必須已從身分識別提供者下載 SAML 中繼資料 XML 檔案,並將此檔案儲存到您可以存取的電腦中。
程序
- 在 UAG 管理主控台的手動設定區段中,按一下選取。
- 在區段中,選取上傳身分識別提供者中繼資料齒輪圖示。
- 在實體 ID 文字方塊中輸入身分識別提供者的實體 ID。
如果未在 [實體 ID] 文字方塊中輸入值,則系統會剖析中繼資料檔案中的身分識別提供者名稱,並用作身分識別提供者的實體 ID。
- 在 IDP 中繼資料區段中,按一下選取,然後瀏覽至中繼資料檔案儲存所在的位置。
- 從加密憑證類型下拉式功能表中選取 PEM 作為憑證格式類型。
備註: 如果您想要使用加密的判斷提示來驗證 SAML 驗證,則必須選取 PEM。判斷提示的加密和解密需要公開和私密金鑰的組合。身分識別提供者會使用公開金鑰來加密判斷提示,而該公開金鑰僅能使用公開和私密金鑰組合來由 UAG 解密,從而確保增強的安全性。
- 若是私密金鑰,按一下選取,並瀏覽至採用 PEM 格式的憑證私密金鑰的儲存位置。
- 若是憑證鏈結,請按一下選取,並瀏覽至採用 PEM 格式的憑證鏈結的儲存位置。
- 若是允許未加密的 SAML 判斷提示選項,請將按鈕切換為「是」。如果停用,在 SAML 驗證期間不允許未加密的判斷提示。
- 若要啟用永遠強制 SAML 驗證選項,請將按鈕切換為「是」。如果啟用此選項,使用此身分識別提供者時,永遠強制向使用者顯示 SAML 驗證頁面,前提是 IDP 也設定為強制 SAML 驗證。
- 按一下儲存。
隨即會顯示下列訊息:
已成功儲存組態。
下一步
在 UAG 上設定用於選取驗證方法和選擇所需身分識別提供者的 Horizon 設定。