若要整合 UAG (服務提供者) 與身分識別提供者,您必須使用服務提供者資訊 (例如,實體 ID 和判斷提示取用者端點 URL) 來設定身分識別提供者。在本案例中,服務提供者是 UAG。

程序

  1. 登入身分識別提供者的管理主控台。
  2. 若要建立 SAML 應用程式,請在身分識別提供者的管理主控台上遵循適當的步驟。
    如果身分識別提供者具有加密判斷提示功能,請確定您在身分識別提供者上建立之應用程式的 SAML 設定中已停用此功能。
  3. 以下列其中一種方式,使用 UAG 資訊來設定身分識別提供者:
    選項 說明
    從 UAG 下載 SAML 服務提供者中繼資料。

    若要將 SAML 中繼資料匯入到身分識別提供者內,請確定身分識別提供者有支援匯入功能。

    1. 在 UAG 管理員 UI 的手動設定區段中,按一下選取
    2. 一般設定區段中,針對 Edge Service 設定按一下顯示
    3. 按一下 Horizon 設定齒輪圖示。
    4. Horizon 設定頁面上,按一下更多
    5. 選取驗證方法

      驗證方法可以是 SAMLSAML and PassthroughSAML and Unauthenticated

      備註: 如果您選擇 SAML and Unauthenticated,請確實依照 在 Unified Access Gateway 上針對 SAML 整合來進行 Horizon 設定 中對此 驗證方法的說明來設定 Horizon Connection Server設定。
    6. 按一下下載 SAML 服務提供者中繼資料
    7. 下載 SAML 服務提供者中繼資料視窗中,選取身分識別提供者並輸入外部主機名稱。
    8. 按一下下載
    9. .xml 中繼資料檔案儲存到您擁有存取權之電腦上的位置。
    10. 登入身分識別提供者的管理主控台。
    11. 將所下載的中繼資料檔案匯入到身分識別提供者內。
    在身分識別提供者的管理主控台上設定下列 SAML 設定。
    1. 將實體 ID 設定為 https://<uagIP/domain>/portal
    2. 將判斷提示取用者端點 URL 設定為 https://<uagIP/domain>/portal/samlsso
    若要進一步瞭解 Unified Access Gateway 與第三方身分識別提供者的整合適用的驗證方法,請參閱 適用於 Unified Access Gateway 與第三方身分識別提供者整合的驗證方法
  4. (選擇性) 設定使用者名稱的自訂屬性。

    Unified Access Gateway 管理員 UI 中,當您選取 SAML and Unauthenticated作為驗證方法時,如果 SAML 未驗證使用者名稱屬性設定為此處指定的相同屬性名稱,且 SAML 判斷提示已驗證,Unified Access Gateway 就會為針對此自訂屬性而設定的使用者名稱提供未驗證存取。

    若要瞭解 Unified Access Gateway 如何為此使用者名稱提供未驗證存取,請參閱適用於 Unified Access Gateway 與第三方身分識別提供者整合的驗證方法

下一步

將身分識別提供者的 SAML 中繼資料 XML 檔案上傳至 UAG。