您必須在 Unified Access Gateway 應用裝置上產生 SAML 中繼資料並與伺服器交換中繼資料,才能建立智慧卡驗證需要的共同信任。
安全性聲明標記語言 (SAML) 是一種以 XML 為基礎的標準,用於說明以及交換不同安全網域之間的驗證與授權資訊。在被稱為 SAML 聲明的 XML 文件中,SAML 在身分識別提供者與服務提供者之間傳遞使用者相關資訊。在此案例下,Unified Access Gateway 是身分識別提供者而伺服器是服務提供者。
必要條件
- 在 Unified Access Gateway 應用裝置上設定時鐘 (UTC),讓應用裝置擁有正確的時間。例如,開啟 Unified Access Gateway 虛擬機器上的主控台視窗,然後使用箭頭按鈕選取正確的時區。另外,確認 ESXi 主機的時間是否與 NTP 伺服器同步。確認在應用裝置虛擬機器上執行的 VMware Tools 會將虛擬機器的時間與 ESXi 主機的時間同步。
重要: 如果 Unified Access Gateway 應用裝置上的時鐘不符合伺服器主機上的時鐘,智慧卡驗證可能會無法運作。
- 取得可用來簽署 Unified Access Gateway 中繼資料的 SAML 簽署憑證。
備註: 如果您的設定中有多部 Unified Access Gateway 應用裝置,VMware 建議您建立並使用特定的 SAML 簽署憑證。在此情況下,所有應用裝置都必須設定為使用相同的簽署憑證,以便伺服器可以接受來自任何一部 Unified Access Gateway 應用裝置的聲明。使用特定的 SAML 簽署憑證時,來自所有應用裝置的 SAML 中繼資料皆相同。
- 將 SAML 簽署憑證轉換為 PEM 格式檔案,再將 .pem 檔案轉換為單行格式 (如果您尚未這麼做)。請參閱將憑證檔案轉換為單行 PEM 格式。
程序
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在進階設定區段中,按一下 SAML 設定齒輪圖示。
- 按一下 SAML 身分識別提供者設定區段。
- 選取提供憑證。
- 若要新增私密金鑰檔案,請按一下選取並瀏覽至憑證的私密金鑰檔案。
- 若要新增憑證鏈結檔案,請按一下選取並瀏覽至憑證鏈結檔案。
- 按一下儲存。
- 在主機名稱文字方塊中,輸入主機名稱並下載身分識別提供者設定。
- (選用) 開啟啟用主機型簽發者切換,以使用您在步驟 8 中提供的主機名稱作為下載的 IDP 中繼資料中的簽發者主機。如果關閉此切換,則使用預設值 AP.LOCAL 作為簽發者主機。