若要整合 UAG (服務提供者) 與身分識別提供者,您必須使用服務提供者資訊 (例如,實體 ID 和判斷提示取用者端點 URL) 來設定身分識別提供者。在本案例中,服務提供者是 UAG。
程序
- 登入身分識別提供者的管理主控台。
- 若要建立 SAML 應用程式,請在身分識別提供者的管理主控台上遵循適當的步驟。
如果身分識別提供者具有加密判斷提示功能,請確定您在身分識別提供者上建立之應用程式的 SAML 設定中已停用此功能。
- 以下列其中一種方式,使用 UAG 資訊來設定身分識別提供者:
選項 說明 從 UAG 下載 SAML 服務提供者中繼資料。 若要將 SAML 中繼資料匯入到身分識別提供者內,請確定身分識別提供者有支援匯入功能。
- 在 UAG 管理員 UI 的手動設定區段中,按一下選取。
- 在一般設定區段中,針對 Edge Service 設定按一下顯示。
- 按一下 Horizon 設定齒輪圖示。
- 在 Horizon 設定頁面上,按一下更多。
- 選取驗證方法。
驗證方法可以是
SAML
、SAML and Passthrough
或SAML and Unauthenticated
。備註: 如果您選擇SAML and Unauthenticated
,請確實依照 在 Unified Access Gateway 上針對 SAML 整合來進行 Horizon 設定 中對此 驗證方法的說明來設定 Horizon Connection Server設定。 - 按一下下載 SAML 服務提供者中繼資料。
- 在下載 SAML 服務提供者中繼資料視窗中,輸入外部主機名稱。
- 按一下下載。
- 將 .xml 中繼資料檔案儲存到您擁有存取權之電腦上的位置。
- 登入身分識別提供者的管理主控台。
- 將所下載的中繼資料檔案匯入到身分識別提供者內。
在身分識別提供者的管理主控台上設定下列 SAML 設定。 - 將實體 ID 設定為 https://<uagIP/domain>/portal
- 將判斷提示取用者端點 URL 設定為 https://<uagIP/domain>/portal/samlsso。
若要進一步瞭解 Unified Access Gateway 與第三方身分識別提供者的整合適用的驗證方法,請參閱 適用於 Unified Access Gateway 與第三方身分識別提供者整合的驗證方法。 - (選擇性) 設定使用者名稱的自訂屬性。
在 Unified Access Gateway 管理員 UI 中,當您選取
SAML and Unauthenticated
作為驗證方法時,如果 SAML 未驗證使用者名稱屬性設定為此處指定的相同屬性名稱,且 SAML 判斷提示已驗證,Unified Access Gateway 就會為針對此自訂屬性而設定的使用者名稱提供未驗證存取。若要瞭解 Unified Access Gateway 如何為此使用者名稱提供未驗證存取,請參閱適用於 Unified Access Gateway 與第三方身分識別提供者整合的驗證方法。