在 OpManager 中配置 SAML

在 OpManager 中配置 SAML 有两种方式。您可以手动提供必要的凭据进行配置,或者在可用的情况下,直接上传元数据文件。

服务提供商详情

如果您选择手动配置 SAML,系统会提供以下信息:实体 ID(Entity ID)、断言消费者 URL(Assertion Consumer URL)、SSO 登出 URL(SSO Logout URL),以及用于下载 SP 证书文件的链接。这些在 OpManager 界面中提供的信息,可用于在您的 IdP 中将 OpManager 添加为受支持的application。

您也可以直接从 OpManager 下载 SP 元数据文件,并在 IdP 端导入。该元数据文件会以 XML 格式包含上述所有信息。

OpManager 中的 SAML 认证:服务提供商详情

身份提供商详情

与 SP 详情配置类似,您可以选择手动配置 IdP 详情,或上传从 IdP 端获取的元数据文件。

上传 IdP 元数据文件:

如果您有来自 IdP 的元数据文件,请直接在 OpManager 中上传。

  1. Settings -> General Settings -> Authentication 下,进入 SAML Authentication 选项卡。
  2. 在“Configure Identity Provider Details”部分,选择 Upload IdP metadata file,并输入 IdP Name
  3. 找到从 IdP 获取的元数据文件并点击 Upload

OpManager 中的 SAML 认证:通过 IdP 元数据文件配置 IdP 详情

手动配置 IdP 信息:

您也可以在 OpManager 中手动输入 IdP 详情。为此,您需要以下信息:

  1. IdP 名称
  2. IdP 登录 URL
  3. IdP 登出 URL
  4. IdP 证书

Settings -> General Settings -> Authentication 下的 “Configure IdP information manually” 部分中输入上述信息。

OpManager 中的 SAML 认证:手动配置 IdP 详情

注意

  1. OpManager 还提供一种名为 Single Logout 的选项。与 SSO 类似,用户可以通过点击提供的登出 URL,从 OpManager 界面一次性退出 OpManager 和已配置的 IdP。
  2. 目前,可用于 SAML 配置的名称标识符包括:电子邮件地址(Email address)、Transient 和 Persistent。
  3. 要通过 SAML 认证对 OpManager 的 AD 用户进行认证,来自 IdP 的 Name ID 值应为 <domainname>\<username> 格式。
  4. 如果在配置 Email Address Name Identifier 时,多个用户使用了相同的电子邮件地址,则他们无法通过 SAML 认证登录。
  5. 为确保认证成功,IdP 中配置的用户名/电子邮件地址必须与在 OpManager 中提供的用户名/电子邮件地址完全一致。

如需了解更多关于 OpManager 认证方式的信息,请参阅以下帮助文档。

常见问题

1. 使用 SAML 时,我们是否可以选择启用或禁用 AD 和 Radius 认证?

可以。启用 SAML 认证后,系统会提示是否禁用其他认证方式,您可以根据需要禁用其他登录方式。同时,您将只能通过超级管理员在本地登录。

2. 我们可以配置多个 IdP 吗?

不可以,目前一次只能配置一个 IdP。

3. OpManager 支持哪些不同的 Name ID 格式?

目前,电子邮件地址(Email address)TransientPersistent 是 OpManager 中用于 SAML 认证所支持的 Name ID 格式。

4. 我们可以同时在 OpManager 中使用 SAML 认证和 TFA 功能吗?

在 OpManager 中,当启用 SAML 认证时,将无法使用 TFA。这是因为,在启用 SAML 认证后,整个认证流程都由 IdP 处理。只有在使用本地、AD 或 Radius 认证登录时,才能使用 TFA。

5. 如果 IdP 无法访问,我该如何访问产品 WebClient?

如果 IdP 无法访问且其他认证方式已被禁用,您可以通过超级管理员在本地登录。如果其他认证方式未被禁用,您可以通过默认方式登录 OpManager。

6. 如果证书过期,如何配置 SAML?

如果证书临近到期,用户登录后 OpManager 会发出告警。服务提供商的证书可以从 OpManager 界面重新生成并上传到 IdP,反之亦然。上传完成后,证书的有效期将被更新。

感谢您的反馈!

此内容对您有帮助吗?

很抱歉给您带来不便。请帮助我们改进此页面。

我们该如何改进此页面?
您是否需要有关此主题的协助?
点击“提交”,即表示您同意根据隐私政策处理个人数据。