您可以設定 SAML 驗證方法,以對具有管理員 UI 存取權的使用者進行驗證。這會將驗證和授權委派給外部 SAML 2.0 身分識別提供者 (IdP),其中的 Unified Access Gateway 管理員可用作 SAML 服務提供者 (SP)。當使用者使用 https://<<uag-fqdn>>:9443/admin
存取 Unified Access Gateway 管理員 UI 時,系統會將他們重新導向至外部 IdP,並提示使用者輸入其認證。如果正確驗證並授權使用者,則使用者會重新導向回到 Unified Access Gateway 並自動登入。
必須在 IdP 上專門為 Unified Access Gateway 管理員建立 SAML 應用程式。從此 IdP 應用程式匯出的 SAML 中繼資料可用來在 Unified Access Gateway 上設定 SAML 信任。這是完全同盟的 SAML 整合,因此不需要將管理員使用者分別新增至 Unified Access Gateway。
IdP SAML 應用程式可指派給特定使用者或使用者群組,以授與管理員存取權,且簽署的 SAML 判斷提示 NameID 欄位中會接收到已授權的管理員使用者名稱。如果 IdP 對 SAML 判斷提示進行加密,則必須在上傳身分識別提供者中繼資料時為 Unified Access Gateway 設定加密憑證。IdP 使用此憑證的公鑰金鑰對判斷提示進行加密。由 Unified Access Gateway 產生的 AuthNRequest 使用對外公開的 TLS 憑證進行簽署。
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在 [進階設定] 下,選取 [帳戶設定] 齒輪圖示。
- 在 [帳戶設定] 視窗中,按一下 SAML 登入組態,然後完成設定
- 開啟啟用 SAML 驗證切換以啟用該設定。
- 從下拉式功能表中選取身分識別提供者。
備註:
- 如果您先前已上傳身分識別提供者中繼資料檔案,則身分識別提供者可在下拉式功能表中選取。
- 在身分識別提供者的管理主控台上,針對 SAML 組態使用下列設定。
選項 說明 單一登入 URL 將判斷提示取用者服務 URL 輸入為 https://<<uag-fqdn>>:9443/login/saml2/sso/admin
對象 URI (SP 實體識別碼) 將對象 URL 輸入為 https://<<uag-fqdn>>:9443/admin
SP 簽發者 如果需要,將 SP 簽發者輸入為 https://<<uag-fqdn>>:9443/admin
如需如何設定身分識別提供者以及將身分識別提供者中繼資料檔案上傳至 UAG 的詳細資訊,請參閱使用 Unified Access Gateway 資訊來設定身分識別提供者和將身分識別提供者的 SAML 中繼資料上傳至 Unified Access Gateway。
- 按一下儲存。
驗證變更隨即會套用,且管理員使用者會自動登出管理員 UI。下次登入時,Unified Access Gateway 會將管理員的登入要求重新導向至身分識別提供者,且驗證成功後,身分識別提供者便能提供對管理員的存取權。