您可以設定 SAML 驗證方法,以對具有管理員 UI 存取權的使用者進行驗證。這會將驗證和授權委派給外部 SAML 2.0 身分識別提供者 (IdP),其中的 Unified Access Gateway 管理員可用作 SAML 服務提供者 (SP)。當使用者使用 https://<<uag-fqdn>>:9443/admin
來存取 Unified Access Gateway 管理員 UI 時,系統會將他們重新導向至外部 IdP,並提示使用者輸入其認證。如果驗證正確且經過授權,系統就會將其重新導向回 Unified Access Gateway 並自動登入。
必須在 IdP 上專門為 Unified Access Gateway 管理員建立 SAML 應用程式。從此 IdP 應用程式匯出的 SAML 中繼資料可用來在 Unified Access Gateway 上設定 SAML 信任。這是完全同盟的 SAML 整合,因此不需要將管理員使用者分別新增至 Unified Access Gateway。
IdP SAML 應用程式可指派給特定使用者或使用者群組,以授與管理員存取權,且簽署的 SAML 判斷提示 NameID 欄位中會接收到已授權的管理員使用者名稱。如果 IdP 對 SAML 判斷提示進行加密,則必須在上傳身分識別提供者中繼資料時為 Unified Access Gateway 設定加密憑證。IdP 使用此憑證的公鑰金鑰對判斷提示進行加密。由 Unified Access Gateway 產生的 AuthNRequest 使用對外公開的 TLS 憑證進行簽署。
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在 [進階設定] 下,選取 [帳戶設定] 齒輪圖示。
- 在 [帳戶設定] 視窗中,按一下 SAML 登入組態,然後完成設定
- 開啟啟用 SAML 驗證切換以啟用該設定。
- 從下拉式功能表中選取身分識別提供者。
備註:
- 如果您先前已上傳身分識別提供者中繼資料檔案,則身分識別提供者可在下拉式功能表中選取。
- 在身分識別提供者的管理主控台上,針對 SAML 組態使用下列設定。
選項 說明 單一登入 URL 將判斷提示取用者服務 URL 輸入為 https://<<uag-fqdn>>:9443/login/saml2/sso/admin
對象 URI (SP 實體識別碼) 將對象 URL 輸入為 https://<<uag-fqdn>>:9443/admin
SP 簽發者 如果需要,將 SP 簽發者輸入為 https://<<uag-fqdn>>:9443/admin
如需如何設定身分識別提供者以及將身分識別提供者中繼資料檔案上傳至 UAG 的詳細資訊,請參閱使用 Unified Access Gateway 資訊來設定身分識別提供者和將身分識別提供者的 SAML 中繼資料上傳至 Unified Access Gateway。
- 開啟使用管理員憑證簽署切換,以使用管理員介面 TLS 憑證來簽署 SAML 驗證要求。如果關閉此切換,則會使用網際網路對向 TLS 憑證,來簽署 SAML 驗證要求。
- (選用) 如果要為多個 Unified Access Gateways 設定管理員 SAML,請輸入靜態 SP 實體識別碼。當您為多個 Unified Access Gateway 設定管理員 SAML 時,這個選項非常有用,因為它無需在 IdP 上為每個 Unified Access Gateway 建立個別的 SAML 應用程式。
- 使用靜態實體識別碼,在 IdP 中建立 SAML 應用程式。
- 設定 SAML 應用程式以驗證傳入 SAML 驗證要求籤章。當要求驗證成功後,IdP 會將 SAML 判斷提示回應傳送給 SAML 驗證要求的判斷提示取用者 URL。
- 為每個 Unified Access Gateway 設定相同的靜態實體識別碼。
備註: 如果未輸入任何 靜態 SP 實體識別碼,則會將來自 UAG 的 SAML 驗證要求中的簽發者值預設為管理入口網站的 URL。例如,https://<uagip>:9443/portal
。但是,若有提供 靜態 SP 實體識別碼,則簽發者的值會是靜態實體識別碼。 - 按一下儲存。
驗證變更隨即會套用,且管理員使用者會自動登出管理員 UI。下次登入時,Unified Access Gateway 會將管理員的登入要求重新導向至身分識別提供者,且驗證成功後,身分識別提供者便能提供對管理員的存取權。