若要在 Horizon 中設定 SAML 和「SAML 和傳遞」驗證方法,您必須將身分識別提供者的 SAML 憑證中繼資料 XML 檔案上傳至 UAG (Unified Access Gateway)。此上傳會讓 UAG 藉由使用身分識別提供者的公開金鑰來驗證判斷提示的簽章,而能夠信任身分識別提供者。

必要條件

您必須已從身分識別提供者下載 SAML 中繼資料 XML 檔案,並將此檔案儲存到您可以存取的電腦中。

程序

  1. 在 UAG 管理主控台的手動設定區段中,按一下選取
  2. 進階設定 > 身分識別橋接設定區段中,選取上傳身分識別提供者中繼資料齒輪圖示。
  3. 實體 ID 文字方塊中輸入身分識別提供者的實體 ID。
    如果未在 [實體 ID] 文字方塊中輸入值,則系統會剖析中繼資料檔案中的身分識別提供者名稱,並用作身分識別提供者的實體 ID。
  4. IDP 中繼資料區段中,按一下選取,然後瀏覽至中繼資料檔案儲存所在的位置。
  5. 加密憑證類型下拉式功能表中選取 PEM 作為憑證格式類型。
    備註: 如果您想要使用加密的判斷提示來驗證 SAML 驗證,則必須選取 PEM。判斷提示的加密和解密需要公開和私密金鑰的組合。身分識別提供者會使用公開金鑰來加密判斷提示,而該公開金鑰僅能使用公開和私密金鑰組合來由 UAG 解密,從而確保增強的安全性。
  6. 若是私密金鑰,按一下選取,並瀏覽至採用 PEM 格式的憑證私密金鑰的儲存位置。
  7. 若是憑證鏈結,請按一下選取,並瀏覽至採用 PEM 格式的憑證鏈結的儲存位置。
  8. 若要啟用允許未加密的 SAML 判斷提示選項,請開啟此切換。如果此切換已關閉,則在 SAML 驗證期間不允許使用未加密的判斷提示。
  9. 若要啟用永遠強制 SAML 驗證功能,請開啟此切換。如果開啟此切換,當使用此身分識別提供者時,永遠會強制向使用者顯示 SAML 驗證頁面,前提是 IDP 也設定為強制 SAML 驗證。
    備註: 啟用 永遠強制 SAML 驗證功能時, SAML ForceAuthn="true" 會設定為 IdP AuthnRequest 的屬性。在驗證使用者時,會通知 IdP 忽略先前任何的安全性內容。
  10. 按一下儲存
    隨即會顯示下列訊息: 已成功儲存組態。

    UAG 會顯示上傳的 IDP 中繼資料憑證詳細資料。

    可以刪除任何未使用的 IDP 中繼資料。

下一步

在 UAG 上設定用於選取驗證方法和選擇所需身分識別提供者的 Horizon 設定。