单点登录

您可以通过NTLM或SAML身份验证设置对AD360的单点登录以及与之集成的产品。

• NTLM 认证
• SAML 认证

NTLM 认证

要启用基于ntlm的单点登录，请执行以下步骤:

1. 导航至 管理 → 管理 → 登录设置
2. 选中 启用单点登录
3. 从选择组件 下拉框中选择希望启用单点登录的产品
   注意: 只有支持单点登录的产品才会显示出来。
4. 从选择域 下拉框中选择需要配置的域，这些域包含用于访问AD360的用户帐户和组件。
5. 点击 保存设置

注意:

如果AD360安装为服务，请按照下面列出的步骤配置服务帐户的管理员权限。

• 点击 开始 → 运行 → 输入services.msc
• 在服务中找到 Manageengine AD360
• 右键该服务并选择 属性, 点击 登录
• 选择 此账户 并提供账号凭据

如需修改现有单点登录设置，

1. 导航至 管理 → 管理 → 登录设置
2. 在状态列点击需要修设置域的图标 []
3. 输入 计算机名 及 密码
4. 点击在域中创建此计算机帐户 复选框，以使用所输入的凭证创建计算机(如果该凭证不在域中)。
5. 点击 高级，如果输入计算机名和密码后 DNS 服务器 and DNS 站点未自动填入，请手动输入。
6. 点击 保存

如需识别DNS服务器的IP地址：

1. 从您所选择的域的计算机打开 命令提示符（cmd）
2. 键入 ipconfig /all并回车
3. 使用DNS服务器下显示的第一个IP地址

如需识别DNS站点：

1. 在Active Directory中打开Active Directory站点和服务。
2. 展开站点并标识出现在所选域下配置的域控制器的站点。
3. 使用DNS站点的站点名称。

基于NTLM的SSO故障排除步骤:

I. 更改浏览器设置以允许单点登录

可信站点是NTLM认证可以无缝进行的站点。如果SSO失败了，那么最可能的原因是AD360或其集成组件的URL不是您浏览器可信站点的一部分。请将AD360和所选组件的url添加到可信站点列表中。按照下面的步骤进行:

• IE浏览器
• 谷歌浏览器
• 火狐浏览器

注意:

• 建议您在将URL添加到“可信站点”列表后关闭所有浏览器会话，以使更改生效。
• 谷歌浏览器和IE浏览器使用相同的互联网设置，在IE或Chrome中更改设置将在两个浏览器中启用NTLM SSO。建议关闭两个浏览器会话以启用更改。

IE浏览器:

1. 打开IE浏览器并点击工具
2. 点击 Internet 选项
3. 在打开的Internet选项对话框，点击 安全 页
4. 在 选择要查看或更改安全设置的区域，选择 本地站点
5. 点击站点
6. 如果你使用IE 11，点击高级按钮，并添加AD360的URL和组件的网站到本地站点。
7. 如果你使用的版本低于IE 11，添加AD360的URL和组件的网站到本地站点。
8. 点击 关闭，并点击 确定
9. 关闭所有浏览器会话并重新打开浏览器。

谷歌浏览器

1. 打开Chrome，点击自定义和控制谷歌Chrome图标(地址栏最右边的3条水平线图标)。
2. 点击 设置，滚动到底部并点击 显示高级设置
3. 在系统 菜单下点击 打开代理设置
4. 在打开的Internet属性对话框中，导航至 安全页 → 本地站点，并点击站点
5. 点击 高级 and add the URLs of AD360 and the components to the list of intranet sites.
6. 点击 关闭，并点击 确定
7. 关闭所有浏览器会话并重新打开浏览器。

火狐浏览器

1. 打开火狐浏览器并在地址栏输入 about:config
2. 在警告窗口中点击 接受风险并继续
3. 在 搜索 字段，键入: network.automatic-ntlm-auth.trusted-uris.
4. 双击 network.automatic-ntlm-auth.trusted-uris 偏好，在提示框中输入AD360及集成产品的URL， 使用逗号分隔多个URL
5. 点击 确定保存变更
6. 关闭所有浏览器会话并重新打开浏览器

II. 检查计算机帐户配置

状态: 创建计算机帐户时出错

此错误可能是由于下列任何原因造成的：

1. AD360中无效的域凭据

当集成产品的域设置部分中指定的用户帐户的凭据过期时，可能会发生这种情况。要更新凭证并与AD360同步，请参考以下步骤:

• 以管理员身份登录到AD360控制台
• 使用Apps 窗格 或 跳转到 链接导航到所需的组件
• 点击域设置 并更新域的凭据（用户名及密码）
• 通过点击AD360 → 管理 页签中的 Sync now 按钮与AD360同步更新的域凭据
2. 域控制器不能从AD360访问

当AD360无法到达指定的域控制器(DCs)时，您必须添加它可以访问的另一个DC。

• 以管理员身份登录到AD360控制台
• 使用Apps 窗格 或 跳转到 链接导航到所需的组件
• 点击 域设置 并指定相关DC的名称，以及AD360应该使用的帐户凭据
• 通过点击AD360 → 管理 页签中的 Sync now 按钮与AD360同步更新的域凭据
3. 不符合密码策略

当自动创建的用于NTLM身份验证的计算机帐户的密码不满足域密码策略设置时，将发生此错误。要解决此问题，您需要手动创建一个计算机帐户，并为其分配一个满足域策略设置复杂性要求的密码。请参考以下步骤:

• 单击要在其中创建计算机帐户的域的状态列中创建新计算机帐户时出现的错误消息。
• 通过输入计算机名称和密码手动创建一个计算机帐户。

SAML 认证

您可以通过这些流行的身份提供商设置单点登录来访问AD360和集成产品。

重要提示: 如果启用了反向代理，则无法启用基于SAML的SSO。

• Okta
• One Login
• Ping Identity
• ADFS
• 自定义身份提供商

使用Okta配置单点登录到AD360

步骤 1: 在Okta中配置AD360

1. 登录到Okta门户
2. 在Apps 页签下，点击 添加应用程序 并选择 创建新的应用
3. 在平台 中选择 网页应用 并在登录方式 中选择 SAML 2.0，点击 创建完成
4. 在 常规设置中App 名称字段，输入SAML应用程序名称，比如AD360。如果需要，上传应用程序的logo，点击 下一步
5. In the 配置SAML 选项, 填入以下信息
• 单点登录地址URL
• URI

这两个字段的值可以从AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → Okta中获取。复制ACS/收件人URL值并将其粘贴到单点登录URL字段中。复制实体ID值并将其粘贴到URI字段中。

6. 保持其他设置不变
7. 点击 完成
8. 配置完成后，导航至登录页面下载身份提供商元数据文件.

步骤 2: 在AD360配置 Okta

1. 以管理员身份登录到AD360控制台
2. 导航至 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证
3. 在身份提供商（Idp）下拉列表中选择 Okta
4. 对于SAML配置模式选项，选择上传元数据文件。
5. 点击 浏览 并上传步骤 1 (8)中下载的元数据文件
6. 如果你想启用单次登出，
    
   1. 复制发行者URL、SP登出URL并下载AD360中的X.509证书
   2. 在Okta中，转到配置SAML页面，并单击显示高级设置
   3. 检查启用单个注销选项
   4. 将发行者URL值粘贴到SP发行者字段中，并将SP注销URL值粘贴到单个注销URL字段中
   5. 单击签名证书旁边的Browse按钮，选择从AD360下载的X.509证书。单击上传证书。
7. 点击 保存 以完成配置

使用OneLogin配置单点登录到AD360

步骤 1: 在OneLogin中配置AD360

1. 登录到OneLogin门户
2. 点击 应用程序 页签并选择添加应用程序
3. 在应用程序类别中点击 SAML测试连接器(IdP)
4. 输入 显示名 并上传应用程序的 图标。点击 保存
5. 在 配置 页签中，输入 ACS (Consumer) URL 验证器 及 ACS (Consumer) URL的值

这两个字段的值可以从AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → OneLogin中获取。复制ACS/收件人URL值并将其粘贴到这两个字段中。

6. 点击最上面的更多动作 并点击 SAML 元数据 以下载元数据文件
7. 点击 保存以完成在OneLogin的配置

步骤 2: 在AD360中配置OneLogin

1. 以管理员身份登录到AD360控制台
2. 导航至 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证
3. 在身份提供商（Idp）下拉列表中选择 OneLogin
4. 对于SAML配置模式选项，选择上传元数据文件。
5. 点击 浏览 并上传步骤 1 (6)中下载的元数据文件
6. 如果您想启用单次登出，复制SP的登出URL在AD360，并粘贴在单一登出URL字段在OneLogin的配置页面。
7. 点击 保存以完成配置

使用Ping Identity配置单点登录到AD360

步骤 1: 在Ping Identity中配置AD360

1. 登录到Ping Identity 门户。
2. 点击 应用程序 → 我的应用程序 → SAML → 添加应用程序 → 新的SAML 应用程序
3. 在 应用程序详情 页面，输入 应用程序名称，应用程序描述 及 分类，您可以选择指定一个应用程序图标。
4. 点击 继续下一步
5. 在应用程序配置 页面，提供 ACS URL 和 实体 ID

这两个字段的值可以从AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → Ping Identity中获取。复制ACS/收件人URL值并将其粘贴到单点登录URL字段中。复制实体ID值并将其粘贴到URI字段中。

6. 下一步，点击 保存 & 发布
7. 配置完成后，就可以下载元数据文件了。

步骤 2: 在AD360中配置Ping Identity

1. 以管理员身份登录到AD360控制台
2. 导航至 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证
3. 在身份提供商（Idp）下拉列表中选择 Ping Identity
4. 对于SAML配置模式选项，选择上传元数据文件。
5. 点击 浏览 并上传步骤 1 (7)中下载的元数据文件
6. 如果你想启用单次登出，
    
   1. 复制AD360中的SP登出URL，并将其粘贴到Ping Identity的SAML应用页面中的单个登出端点字段中。
   2. 下载AD360中的X.509证书。在Ping Identity的SAML应用程序页面中，单击主验证证书旁边的Browse按钮并上传下载的证书。 
7. 点击 保存以完成配置。

使用ADFS配置单点登录到AD360

步骤 1: 在ADFS中配置AD360

前提条件:

在AD360中配置ADFS进行身份验证，您需要以下组件:

1. 您需要安装ADFS服务器。安装和配置ADFS的详细步骤可以在微软文章中找到
2. 用于签名ADFS登录页面的SSL证书和该证书的指纹

配置步骤

注意: 仅为通过ADFS身份验证访问AD360的用户配置表单身份验证方法。您可以在身份验证策略 → 主要验证 → 全局设置中查看此设置。

声明规则和信赖方信任

在配置期间，您将需要添加依赖方信任并创建声明规则。创建依赖方信任以通过验证声明在两个应用程序之间建立连接。在此次配置中，ADFS 将信任 依赖方 (AD360) 并根据生成的声明对用户进行身份验证。声明是通过对声明规则应用某些条件而生成的。声明是一种属性，用于标识实体，建立访问。例如，活动目录中的 sAMAccountName

1. 打开 AD FS 管理 控制台
2. ADFS和AD360之间的连接是使用依赖方信任 (RPT)创建。从AD FS选择依赖方信任文件夹



3. 从 动作 栏中，选择 添加依赖方信任。添加依赖方信任向导将打开。



4. 点击 开始
5. 在选择数据源 页面，点击手动输入有关的数据 并点击 下一步



6. 在 指定显示名称 页面，输入显示名称并可根据需要设置备注。 点击下一步



7. 在选择配置文件 页面，选择AD FS 配置文件 选项。点击 下一步.



8. 在 配置证书 界面，默认设置已经应用。点击 下一步



9. 在配置URL 界面，勾选标签启用对SAML 2.0 WebSSO协议的支持。依赖方SAML 2.0 SSO服务URL 将作为AD360中的ACS URL。注意，在URL的末尾没有结尾斜杠。例如:

https://ad360-server/samlLogin/955060d15d6bb8166c13b8b6e10144e5f755c953

注意: 要获得ACS URL值，请导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → ADFS。复制ACS URL/受体 URL 值。



10. 在下一页中的依赖方信任标识符 字段，复制粘贴实体 ID值

注意: 要获得实体 ID值，请导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → ADFS。复制 实体 ID 值。



11. 在下一页中，可以选择为依赖方信任配置多因素身份验证设置。点击 下一步
12. 在 选择发行授权规则 页面，您可以选择 允许所有用户访问此依赖方，点击下一步。
13. 接下来的两个页面将显示已经配置的设置的概述。
14. 在 完成 页面，点击 关闭退出向导。保持选择 当向导关闭时，打开此依赖方信任的编辑声明规则对话框 选项，以自动打开声明规则编辑器。



15. 配置了依赖方信任后，您可以使用声明规则编辑器创建声明规则
16. 在发行转换规则 页签中, 点击 添加规则
17. 从声明规则模板下拉列表中，选择 将LDAP属性作为声明发送，点击 下一步



18. 在下一页中，提供一个 声明规则名称 并从属性库下拉列表中选择Active Directory
19. 在LDAP 属性 列中，选择 userPrincipalName
20. 在 流出声明类型列中，选择 Name ID.
21. 点击 完成 以保存规则



22. 点击完成后，您可以查看已创建的规则。



23. 完成ADFS配置后，可以通过点击链接身份提供商元数据下载元数据。例如:
    https://<server_name>/FederationMetadata/2007-06/FederationMetadata.xml.

注意: 替换 <server_name> 为AD FS 服务器主机名

在AD360中配置SAML身份验证时需要这个文件。所以，保存这个文件并保证它的安全。

24. 导航至 依赖方信赖 找到您创建的 规则
25. 右键规则并点击 属性
26. 在打开的窗口中，找到终端 页签并点击 添加 SAML 按钮



27. 在信任URL，粘贴SP 登出URL

注意: 要获得SP登出URL，导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商(IdP) → ADFS。复制SP 登出 URL 值

28. 在签名 页签，上传X.509证书。

注意: 要获得X.509证书，导航至 AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商(IdP) → ADFS。 点击 下载 X.509 证书 链接下载证书。

29. 点击 确定

步骤 2: 在AD360中配置ADFS

前提条件 :

在ADFS中启用 RelayState

• 适用于Windows Server 2012:
• 导航至ADFS服务器 %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config .
• 在 <microsoft.identityServer.web> 小节中, 输入以下代码: <useRelayStateForIdpInitiatedSignOn enabled="true" />
  代码示例:
  <microsoft.identityServer.web>
  …..
  <useRelayStateForIdpInitiatedSignOn enabled="true" />
  </microsoft.identityServer.web>
• 重启ADFS服务器
• 适用于Windows Server 2016:
• 以管理员身份打开 Powershell
• 运行以下命令启用Idp发起的SSO:
  Set-ADFSProperties -EnableIdPInitiatedSignonPage $true
• Run the following code to enable RelayState:
  Set-ADFSProperties -EnableRelayStateForIDPInitiatedSignon $true
• 重启ADFS服务器

1. 以管理员身份登录到AD360控制台
2. 导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证
3. 在身份提供商（Idp）下拉列表中选择 ADFS
4. 点击 浏览 并上传Step 1 (23)中下载的元数据文件
5. 点击 保存

通过ADFS访问AD360

1. 访问AD360，请使用以下提供的URL：
   https:// <ADFSserver>/adfs/ls/idpinitiatedsignon.aspx

其中，ADFSserver是部署ADFS的服务器。

2. 从应用程序列表中选择AD360

使用自定义身份提供程序配置单点登录到AD360

您可以配置您选择的任何自定义身份提供商来启用单点登录访问AD360和集成产品。为此，按照上面解释的步骤在首选身份提供程序中配置AD360设置。

配置自定义身份提供程序

1. 以管理员身份登录到AD360控制台
2. 导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证
3. 在身份提供商（Idp）下拉列表中选择 自定义身份验证提供商
4. 上传自定义标识提供程序的元数据文件
5. 点击 保存以完成配置

基于SAML的单点登录的故障排除技巧

错误: 无法连接。对不起，无法加载所请求的页面。一些可能的原因是:

• 直接访问URL是受限制的。
• 从多个选项卡访问该产品。再试一次。

解决方法:如果您得到上述错误信息，请重新输入ACS/收件人的URL在IdP并重试。

回到起始