您可以設定 SAML 驗證方法,以對具有管理員 UI 存取權的使用者進行驗證。這會將驗證和授權委派給外部 SAML 2.0 身分識別提供者 (IdP),其中的 Unified Access Gateway 管理員可用作 SAML 服務提供者 (SP)。當使用者使用 https://<<uag-fqdn>>:9443/admin 存取 Unified Access Gateway 管理員 UI 時,系統會將他們重新導向至外部 IdP,並提示使用者輸入其認證。如果正確驗證並授權使用者,則使用者會重新導向回到 Unified Access Gateway 並自動登入。

必須在 IdP 上專門為 Unified Access Gateway 管理員建立 SAML 應用程式。從此 IdP 應用程式匯出的 SAML 中繼資料可用來在 Unified Access Gateway 上設定 SAML 信任。這是完全同盟的 SAML 整合,因此不需要將管理員使用者分別新增至 Unified Access Gateway。

備註: 從 Unified Access Gateway 2209 開始,如果啟用管理員 SAML 驗證功能,則具有監控角色的使用者 (低權限管理員) 可以使用基本驗證來存取 API。啟用管理員的 SAML 驗證時,自動會停用預設管理員 (具有管理員角色和基本認證)。反之,停用管理員的 SAML 驗證時,自動會啟用預設管理員。如果為管理員設定 SAML 驗證,請務必關閉監控使用者的 登入前密碼切換。

IdP SAML 應用程式可指派給特定使用者或使用者群組,以授與管理員存取權,且簽署的 SAML 判斷提示 NameID 欄位中會接收到已授權的管理員使用者名稱。如果 IdP 對 SAML 判斷提示進行加密,則必須在上傳身分識別提供者中繼資料時為 Unified Access Gateway 設定加密憑證。IdP 使用此憑證的公鑰金鑰對判斷提示進行加密。由 Unified Access Gateway 產生的 AuthNRequest 使用對外公開的 TLS 憑證進行簽署。

  1. 在管理員 UI 的 [手動設定] 區段中,按一下選取
  2. 在 [進階設定] 下,選取 [帳戶設定] 齒輪圖示。
  3. 在 [帳戶設定] 視窗中,按一下 SAML 登入組態,然後完成設定
    1. 開啟啟用 SAML 驗證切換以啟用該設定。
    2. 從下拉式功能表中選取身分識別提供者。
      備註:
      • 如果您先前已上傳身分識別提供者中繼資料檔案,則身分識別提供者可在下拉式功能表中選取。
      • 在身分識別提供者的管理主控台上,針對 SAML 組態使用下列設定。
        選項 說明
        單一登入 URL 將判斷提示取用者服務 URL 輸入為

        https://<<uag-fqdn>>:9443/login/saml2/sso/admin

        對象 URI (SP 實體識別碼) 將對象 URL 輸入為

        https://<<uag-fqdn>>:9443/admin

        SP 簽發者 如果需要,將 SP 簽發者輸入為

        https://<<uag-fqdn>>:9443/admin

      如需如何設定身分識別提供者以及將身分識別提供者中繼資料檔案上傳至 UAG 的詳細資訊,請參閱使用 Unified Access Gateway 資訊來設定身分識別提供者將身分識別提供者的 SAML 中繼資料上傳至 Unified Access Gateway

  4. 按一下儲存

    驗證變更隨即會套用,且管理員使用者會自動登出管理員 UI。下次登入時,Unified Access Gateway 會將管理員的登入要求重新導向至身分識別提供者,且驗證成功後,身分識別提供者便能提供對管理員的存取權。

    備註: 若要還原管理員組態設定,並還原預設密碼驗證,請使用 adminrest 命令。如需詳細資訊,請參閱 使用 adminreset 命令,來復原管理員。