Configuration de l'authentification SSO
Table des matières
1.Connectez-vous à la page de gestion du système.
2.Dans la page Gestion du système, cliquez sur Comptes d'utilisateurs > Authentification externe.
3.Cliquez 
icône et sélectionnez Ajouter une authentification SSO dans la liste déroulante.
1)Entrez un nom unique pour identifier le serveur SSO et une brève description.
2)Entrez les informations d'identification pour vous connecter au serveur SSO. Voir Paramètres d'authentification unique pour plus de détails.
3)Attribuez les autorisations d'accès, les rôles et les privilèges aux comptes d'utilisateurs sur le serveur SSO.
▪Administrateur système - Cliquez sur pour attribuer le rôle d'administrateur système aux comptes d'utilisateurs. Pour les privilèges détaillés de la gestion du système et de la gestion des utilisateurs, reportez-vous à Privilèges de gestion en vedette.
▪Accès locataire — sélectionnez un ou plusieurs locataires pour attribuer des autorisations d'accès aux comptes d'utilisateurs.
▪Administrateur locataire — sélectionnez un ou plusieurs locataires pour attribuer le rôle d'administrateur de locataire aux comptes d'utilisateur.
▪Autorisé à créer un domaine — cochez la case pour attribuer l'autorisation de création de domaine aux comptes d'utilisateurs.
▪Accès au domaine — sélectionnez un ou plusieurs domaines pour attribuer des autorisations d'accès aux comptes d'utilisateurs.
▪Privilèges de domaine - Cliquez sur Attribuer des privilèges pour attribuer plus de privilèges de domaine au des comptes d'utilisateurs ou administrateurs par rôle. Voir Politique de partage pour plus de détails.
Remarque : Pour empêcher la synchronisation des rôles et privilèges attribués à un compte d'utilisateur externe avec les paramètres d'authentification modifiés, vous pouvez verrouiller les droits d'utilisateur comme suit dès que l'utilisateur s'est connecté au système IE. Voir Création d'un compte utilisateur pour plus de détails.
4)Cliquez sur Enregistrer.
Conseil: Vous pouvez cliquer Télécharger les métadonnées pour télécharger les métadonnées SAML de NetBrain Fournisseur de services, qui contient entityID, les points de terminaison (Attribute Consume Service Endpoint, Single Logout Service Endpoint), le certificat X.509 public, le format nameID, les informations sur l'organisation, etc.
Paramètres du serveur SSO
Le tableau suivant répertorie les informations d'identification requises lors de la connexion à un serveur SSO.
Remarque : Pour vous assurer que les certificats X.509 peuvent être déployés sur IIS, accédez à Gestionnaire des services Internet > Pool d'applications > Paramètres avancés > Modèle de processus Et définir Charger le profil de l'utilisateur à Vrai.
Champ |
Description |
|---|---|
Version SAML |
La version de SAML utilisée par votre fournisseur d'identité. Actuellement, SAML 2.0 est pris en charge. |
Identifiant de l'entité |
L'identifiant unique du fournisseur d'identité. |
Certificat de fournisseur d'identité |
Le certificat X.509 contenant la clé publique pour vérifier les messages SAML 2.0 signés par le fournisseur d'identité, tels que Assertion et LogoutRequest/LogoutResponse. Cliquez sur Explorer pour télécharger le certificat. Remarque : Seulement le .crt format est autorisé. |
Demander un certificat de signature |
Le certificat X.509 contenant la clé publique et la clé privée pour signer les messages SAML 2.0 sortants et déchiffrer les messages SAML 2.0 entrants chiffrés par le fournisseur d'identité, tels que les éléments Assertion/NameID/Attribute dans une réponse SSO. Le certificat avec mot de passe est pris en charge. Cliquez sur Explorer pour télécharger le certificat. Remarque : Seulement le . Pfx format est autorisé. |
Mot de passe du certificat |
Le mot de passe du certificat (pfx). |
Vous souhaitez que les demandes d'authentification soient signées |
Définir s'il faut signer la demande d'authentification SAML avec NetBrain certificat. Remarque : Cochez la case si votre fournisseur d'identité active la signature de certificat pour les messages reçus via les paramètres de sécurité. |
Demander la méthode de signature |
L'algorithme de signature pour chiffrer les messages envoyés au fournisseur d'identité. Les options disponibles incluent : ▪rsa-sha1 ▪rsa-sha256 ▪rsa-sha384 ▪rsa-sha512 |
Format d'ID de nom |
Les formats d'identifiant de nom pris en charge par le fournisseur d'identité. Les identificateurs de nom sont un moyen pour les fournisseurs de communiquer entre eux concernant un utilisateur. Les interactions SSO prennent en charge les types d'identifiants suivants : ▪urn:oasis:noms:tc:SAML:2.0:nameid-format:persistent ▪urn:oasis:noms:tc:SAML:1.1:nameid-format:non spécifié ▪urn:oasis:noms:tc:SAML:1.1:nameid-format:emailAddress |
Liaison de services |
Liaison utilisée pour envoyer la demande de connexion au fournisseur d'identité. Les options disponibles incluent : ▪HTTP-Redirection ▪HTTP POST |
URL de connexion du fournisseur d'identité |
L'URL du service de connexion où le fournisseur d'identité redirigera l'utilisateur lors de l'échange de connexion. |
URL de résolution d'artefact |
L'URL du service de résolution d'artefacts (ARS) pour envoyer des demandes de canal de retour afin de résoudre les artefacts reçus de NetBrain. |
Liaison de service de déconnexion |
Liaison utilisée pour envoyer la demande de déconnexion au fournisseur d'identité. Les options disponibles incluent : ▪HTTP-Redirection ▪HTTP POST |
URL de déconnexion du fournisseur d'identité |
L'URL du service de déconnexion où le fournisseur d'identité redirigera l'utilisateur lors de l'échange de déconnexion. |