The following macros are not currently supported in the header:
  • style

实施单点登录

Owned by
Former user (Deleted)
Last updated: May 10, 2017 by
Richard Graves (Deactivated)
2 min read

借助单点登录,组织可以使用其已定义的域身份验证,而无需用户为 ServiceAide Cloud Service Management 创建唯一的用户名/密码。

本文说明如何在 ServiceAide Cloud Service Management 和您的身份提供商 (IdP) 之间配置基于 SAML 的身份验证。 该功能测试了 Microsoft Active Directory Federation Service (ADFS 3.0) 和 Novell Access Manager。 但是,您还可以针对其他 IdP(如 OpenAM 和 PingFederate)配置基于 SAML 的身份验证。

在 ServiceAide Cloud Service Management 中您需要管理员权限,才能执行本文中所列的任务。

概述

要在 ServiceAide Cloud Service Management 和您的 IdP 之间启用单点登录,请在这两个系统之间建立联合。 ServiceAide Cloud Service Management 和 IdP 服务器中都需要进行配置以便建立联合。

要启用和配置单点登录,请执行以下任务:

  1. 验证先决条件 
  2. 导出身份提供商证书
  3. 在 ServiceAide Cloud Service Management 中配置 SAML 单点登录
  4. 在身份提供商中将 ServiceAide Cloud Service Management 添加为受信任服务提供商
  5. 配置身份提供商以便将用户标识符作为名称 ID 发送

先决条件

开始配置之前,确保以下条件得到满足:

  • 身份提供商服务器已配置并正在运行。
  • 令牌签名证书可用。
  • 在 IIS 服务器上启用了 HTTPS/SSL。
  • 在启用 HTTPS/SSL 的服务器上安装了 ServiceAide Cloud Service Management。

注意:不要修改应用程序服务器或数据库服务器上的任何参数。 联系 CA 支持人员以获取此类更改的帮助。

导出身份提供商证书

联合服务器使用公钥/密钥对向所有它们产生的安全令牌添加数字签名。 这些密钥验证已加密安全令牌的真实性。

ServiceAide Cloud Service Management 使用签名证书保护通信并建立信任。

从 IdP 导出签名证书的公钥部分。 将签名证书保存在 ServiceAide Cloud Service Management 可访问的本地系统。 配置 ServiceAide Cloud Service Management 的单点登录时,使用证书的 XML 元数据。

注意:请将签名证书以 Base64 编码文件的形式保存在 Novell Access Manager 的 ADFS 3.0 和 PEM 文件中。

在 Microsoft ADFS 3.0 上执行以下步骤:

  1. 登录 IdP 服务器并导航到“管理工具”、“ADFS 3.0 管理”、“服务”、“证书”。
  2. 在“令牌签名”下选择签名证书,然后单击“复制到文件”。
    导出向导启动。
  3. 单击“下一步”,选择“否,不导出私钥”,然后单击“下一步”。
  4. 导出文件并将其保存成 Base64 编码 X.509 (.CER) 格式。

如果导出成功,证书便保存在您指定的位置。 可以使用任何文本编辑器(如记事本)打开证书。

在 Novell Access Manager 上执行以下步骤:

  1. 登录 Novell iManager 管理控制台,并导航到“访问管理器”、“证书”。
  2. 打开签名证书,单击“导出公共证书”,然后选择“PEM 文件”。
  3. PEM 格式将文件保存在所需位置。

如果导出成功,证书便保存在您指定的位置。 可以使用任何文本编辑器(如记事本)打开证书。

在 ServiceAide Cloud Service Management 中配置 SAML 单点登录

您可以将多个 SAML 单点登录配置添加到 ServiceAide Cloud Service Management。 如此一来,单个 ServiceAide Cloud Service Management 系统便可支持可能具有不同 SSO/SAML 设置的多个组织。 要启用单点登录,将 ServiceAide Cloud Service Management 配置为信任 IdP 发送的联合。

请执行以下步骤:

  1. 依次导航到“管理”、“管理”、“工具”、“切片配置”、“单点登录”。
  2. 要添加 SSO 配置,请单击 + 图标,然后执行以下操作:
    1. 输入域名、IdP 登录 URL 和(可选)用于注销的重定向 URL。 
    2. 从签名证书复制整个文本,然后将其粘贴到“身份提供商证书”文本框中。
    3. 在“电子邮件域标记”文本字段中输入电子邮件域。 电子邮件域有助确定出站通信的故障单 URL 以及已登录用户的注销 URL。 您可以添加由分号分隔的多个电子邮件域。
      注意:设置多个 SSO 配置时,仅可将一个电子邮件域标记设为空。
  3. 保存 SSO 配置。
  4. 要编辑 SSO,请单击铅笔图标。
  5. 要启用或禁用 SSO,请根据您的选择来单击“启用”或“禁用”。

在 ServiceAide Cloud Service Management 中配置了单点登录后,元数据便在线可用。 对于应用程序的不同实例,元数据文件的 URL 也会不同。 请考虑以下示例:

  • 美国生产:https://sm1.saas.ca.com/NimsoftServiceDesk/servicedesk/sso/metadata/<域名>
  • 美国分段:https://sm1s.saas.ca.com/NimsoftServiceDesk/servicedesk/sso/metadata/<域名>

您可以从此位置下载元数据,并可以将其保存为 XML 文件。 使用此 XML 文件中的信息,在您的 IdP 中将 ServiceAide Cloud Service Management 添加为受信任合作伙伴。

注意:请联系 CA 支持团队以获取适用于您的应用程序实例的元数据 URL。

在 IdP 中将 ServiceAide Cloud Service Management 添加为受信任服务提供商

将生成的元数据从 ServiceAide Cloud Service Management 添加到您的 IdP,以启用它们之间的 SAML 通信。 有关生成元数据的信息,请参阅“在 ServiceAide Cloud Service Management 中配置 SAML 单点登录

在 Microsoft ADFS 3.0 上执行以下步骤:

  1. 登录到 IdP 服务器并导航到“管理工具”、“ADFS 3.0 管理”、“信任方信任”,然后单击“添加信任方信任”。
  2. 遵循“添加信任方信任”向导中的说明添加元数据。
  3. 验证是否满足下列条件:
    1. 选定“允许所有用户访问此信任方”选项。
    2. ServiceAide Cloud Service Management 的条目显示在“端点”选项卡中。
    3. 高级”选项卡下的安全哈希算法设为“SHA-1”。
    4. 在“完成”页面中,选择“当向导关闭时打开此信任方信任的“编辑声明规则”。 “编辑声明规则”对话框有助于您设置属性以识别某位用户。
    5. 在“编辑声明规则”对话框中添加用户标识属性。 有关声明规则的详细信息,请参阅“配置身份提供商以将用户标识符作为名称 ID 发送”。

ServiceAide Cloud Service Management 即作为受信任的服务提供商添加到您的 IdP 中。

在 Novell Access Manager 上执行以下步骤:

  1. 登录 Novell iManager 管理控制台,然后导航到“访问管理器”、“身份服务器”、“服务器”。
  2. 在“服务器”选项卡上,选择服务器群集,然后单击“编辑”。
  3. 单击“SAML 2.0”、“新建”、“服务提供商”。
  4. 为 ServiceAide Cloud Service Management 服务提供商添加名称。 在“”字段中,您可以添加元数据 URL,也可以从元数据文件粘贴文本。
  5. 单击“完成”。
  6. 导航到“访问管理器”、“身份服务器”,然后单击“更新全部”。

ServiceAide Cloud Service Management 即作为受信任的服务提供商添加到您的 IdP 中。

配置身份提供商以便将用户标识符作为名称 ID 发送

在您将 IdP 和 ServiceAide Cloud Service Management 配置为信任断言后,为 SAML 断言设置属性声明。 此属性声明用于标识用户。 您可以使用唯一标识符来识别每位用户,如主体名称或电子邮件 ID。

注意:使用 ADSync 实用工具时,可以使用映射到 ServiceAide Cloud Service Management 的用户名上的名称标识符。

在 Microsoft ADFS 3.0 上执行以下步骤:

  1. 如“将 ServiceAide Cloud Service Management 作为受信任的服务提供商添加到 IdP 中”中所示访问“编辑声明规则”对话框。
  2. 单击“发行转换规则”、“添加规则”。 选择规则模板“将 LDAP 属性作为声明发送”,然后单击“下一步”。
  3. 配置声明规则:
    1. 为规则指定名称。 例如,将主体作为名称 ID 发送。
    2. 选择用于存储此规则的位置。 例如,Active Directory。
    3. 将 LDAP 属性映射到传出声明类型。 例如,LDAP 属性 - 用户主体名称和传出声明类型 - 名称 ID。
    4. 单击“完成”,然后确认新规则显示在“发行转换规则”选项卡中。
    5. 单击“应用”,然后单击“确定”。

此时即为 ServiceAide Cloud Service Management 配置了以 ADFS 3.0 为 IdP 的单点登录。

在 Novell Access Manager 上执行以下步骤:

  1. 登录 Novell iManager 管理控制台,然后导航到“访问管理器”、“身份服务器”、“共享设置”。
  2. 单击“新建”以创建属性集。 输入属性集的名称,选择模板,然后单击“下一步”。
    提示您定义属性。
  3. 单击“新建”。 在“添加属性映射”对话框中,指定“本地属性”,必要时,也指定“远程属性”。 如果您使用远程属性,另外指定远程命名空间和远程格式。
  4. 单击“完成”,然后单击“确定”。
  5. 单击“配置”、“属性”。
  6. 从“属性集”下拉列表中,选择之前定义的属性。
  7. 在“可用”区域中选择之前定义的属性,并将其移到“使用身份验证发送”区域。 单击“应用”。
  8. 单击“配置”、“身份验证响应”。
  9. 从“绑定”下拉列表,选择“发布”。
  10. 启用选项按钮“未指定”。 从“未指定”旁边的下拉列表中选择之前定义的属性。
  11. 单击“应用”。
  12. 导航到“访问管理器”、“身份服务器”,然后单击“更新全部”。

此时即为 ServiceAide Cloud Service Management 配置了以 Novell Access Manager 为 IdP 的单点登录。

故障排除

无法集成 SSO 登录

症状

启动 SSO 登录时,会显示服务器错误。

原因

ServiceAide Cloud Service Management 将编码的 SAML 请求 XML 发送到 IDP 以处理 SSO 登录。 编码的 XML 包含属性 entityID,这不是标准的 SAML 请求属性,从而导致了错误。

解决方案

  1. 验证 IDP 日志文件是否为以下类型的错误模式:

  2. 要删除该错误,请执行以下步骤:
    1. 依次导航到“管理”、“管理”、“工具”、“切片配置”
    2. 将参数 INCLUDE_ENTITYID_IN_OUTGOING_SAML_REQUEST 值更改为 False,可跳过将 entityID 属性包含在传出 SAML 请求中的操作。
      注意:默认情况下,该参数值设置为 True

© 2017 ServiceAide 1-650-206-8988 http://www.serviceaide.com info@serviceaide.com