您可以通过NTLM或SAML身份验证设置对AD360的单点登录以及与之集成的产品。
要启用基于ntlm的单点登录,请执行以下步骤:
注意:
如果AD360安装为服务,请按照下面列出的步骤配置服务帐户的管理员权限。
可信站点是NTLM认证可以无缝进行的站点。如果SSO失败了,那么最可能的原因是AD360或其集成组件的URL不是您浏览器可信站点的一部分。请将AD360和所选组件的url添加到可信站点列表中。按照下面的步骤进行:
注意:
IE浏览器:
谷歌浏览器
火狐浏览器
状态: 创建计算机帐户时出错
此错误可能是由于下列任何原因造成的:
当集成产品的域设置部分中指定的用户帐户的凭据过期时,可能会发生这种情况。要更新凭证并与AD360同步,请参考以下步骤:
当AD360无法到达指定的域控制器(DCs)时,您必须添加它可以访问的另一个DC。
当自动创建的用于NTLM身份验证的计算机帐户的密码不满足域密码策略设置时,将发生此错误。要解决此问题,您需要手动创建一个计算机帐户,并为其分配一个满足域策略设置复杂性要求的密码。请参考以下步骤:
您可以通过这些流行的身份提供商设置单点登录来访问AD360和集成产品。
重要提示: 如果启用了反向代理,则无法启用基于SAML的SSO。
步骤 1: 在Okta中配置AD360
这两个字段的值可以从AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → Okta中获取。复制ACS/收件人URL值并将其粘贴到单点登录URL字段中。复制实体ID值并将其粘贴到URI字段中。
步骤 2: 在AD360配置 Okta
步骤 1: 在OneLogin中配置AD360
这两个字段的值可以从AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → OneLogin中获取。复制ACS/收件人URL值并将其粘贴到这两个字段中。
步骤 2: 在AD360中配置OneLogin
步骤 1: 在Ping Identity中配置AD360
这两个字段的值可以从AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → Ping Identity中获取。复制ACS/收件人URL值并将其粘贴到单点登录URL字段中。复制实体ID值并将其粘贴到URI字段中。
步骤 2: 在AD360中配置Ping Identity
步骤 1: 在ADFS中配置AD360
前提条件:
在AD360中配置ADFS进行身份验证,您需要以下组件:
配置步骤
注意: 仅为通过ADFS身份验证访问AD360的用户配置表单身份验证方法。您可以在身份验证策略 → 主要验证 → 全局设置中查看此设置。
声明规则和信赖方信任
在配置期间,您将需要添加依赖方信任并创建声明规则。创建依赖方信任以通过验证声明在两个应用程序之间建立连接。在此次配置中,ADFS 将信任 依赖方 (AD360) 并根据生成的声明对用户进行身份验证。声明是通过对声明规则应用某些条件而生成的。声明是一种属性,用于标识实体,建立访问。例如,活动目录中的 sAMAccountName
https://ad360-server/samlLogin/955060d15d6bb8166c13b8b6e10144e5f755c953
注意: 要获得ACS URL值,请导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → ADFS。复制ACS URL/受体 URL 值。
注意: 要获得实体 ID值,请导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商 (IdP) → ADFS。复制 实体 ID 值。
注意: 替换 <server_name> 为AD FS 服务器主机名
在AD360中配置SAML身份验证时需要这个文件。所以,保存这个文件并保证它的安全。
注意: 要获得SP登出URL,导航至AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商(IdP) → ADFS。复制SP 登出 URL 值
注意: 要获得X.509证书,导航至 AD360 → 管理 → 管理 → 登录设置 → 单点登录 → SAML 认证 → 身份提供商(IdP) → ADFS。 点击 下载 X.509 证书 链接下载证书。
步骤 2: 在AD360中配置ADFS
前提条件 :
在ADFS中启用 RelayState
通过ADFS访问AD360
其中,ADFSserver是部署ADFS的服务器。
您可以配置您选择的任何自定义身份提供商来启用单点登录访问AD360和集成产品。为此,按照上面解释的步骤在首选身份提供程序中配置AD360设置。
配置自定义身份提供程序
基于SAML的单点登录的故障排除技巧
错误: 无法连接。对不起,无法加载所请求的页面。一些可能的原因是:
解决方法:如果您得到上述错误信息,请重新输入ACS/收件人的URL在IdP并重试。