使用SAML配置单点登录

ManageEngine PAM360支持SAML 2.0，十分便于与身份管理解决方案进行集成、进行单点登录。PAM360扮演服务提供者（SP），并使用SAML2.0与身份提供者（IdP）进行集成。集成主要用于提供关于服务提供者（SP）到身份提供者（IdP）的详细信息，或者相反。一旦将IdP集成到PAM360，用户必须登录到Okta，然后，他们可以从相应的身份提供者的用户界面自动登录到PAM360，不必再次输入登录凭证。PAM360支持与Okta进行集成。

在Okta中添加PAM360作为一个应用的步骤:

按照以下步骤，将Okta集成到PAM360：

在Okta界面将PAM360添加为一个应用
在PAM360中配置 Okta 明细
在Okta中将PAM360指给相应的用户
在 PAM360 中启用单点登录

1）在Okta界面将PAM360添加为一个应用。

使用管理员账户登录到Okta，然后点击应用标签。

在打开的新页面中，选择添加应用。

如下图所示，点击创建新的应用。

页面会弹出一个应用集成类型的选择窗口，选择[SAML 2.0]并点击创建。

输入要添加的应用名称（如PAM360），您也可以为该应用上传一个logo。完成后，点击下一步。

配置SAML集成的第二步，需要将服务提供者（PAM360）的明细提交到Okta。导航到管理 >> SAML 单点登录，可以访问这些明细。

红色高亮区标题为“服务提供者信息”部分包括了相关明细，您需要在OKta的SAML设置页面输入这些信息。

填写完Single Sign On URL和SP Entity ID(Audience URI)字段后，您需要指定如何让Okta识别您PAM360中的用户。由于在Okta中显示的用户名与PAM360中的用户名可能不同，您必须指定格式。比如下面两种情况：
1. 场景1：如果您已经从AD向PAM360导入了用户，他们的格式应该是域名\用户名。更多关于集成Okta和AD的内容，请参照Okta帮助文档。在Okta，请从名称ID格式下拉列表中选择自定义。然后，请指定如下自定义格式：
2. 场景2：如果您没有在PAM360中使用AD集成，您应该选择Okta Username Prefix。因为在Okta中，用户配置文件的格式为username@domain.com,但在PAM360中，用户名称为username。
完成上述步骤后，点击完成，应用明细如下图所示。点击登录，然后选择查看安装说明，打开一个新的页面，其中包含在PAM360中配置SAML 2.0所需的详细信息，如下所示：

2）在PAM360中配置Okta明细

您需要在PAM360中配置IdP明细。我们需要在PAM360的SAML单点登录页面的第二步“配置身份提供者信息”中进行配置。您可以手动输入信息，也可以通过上传IdP文件，自动填写所需信息。

手动配置：如果您选择手动输入信息，请从Okta“Setup Instructions”页面获取IdP明细，如Issuer ID，Login URL,或Logout URL，这与SAML单点登录配置页面的第二步的配置相同。在相应字段输入信息，下载Okta证书，并上传到PAM360（如第三步所示），另外，您也可以将证书保存在PAM360文件库或密钥库，以供使用。

自动配置IdP信息：向下滚动Okta SAML 2.0配置说明页面，在可选下，可以找到IdP metadata信息，复制该文本并将其保存在一个.xml文件中并将该.xml文件上传到PAM360。这样，您就不必手动向PAM360导入IdP证书了，它将会自动更新。

3）将应用指给Okta用户

在PAM360中完成配置后，回到Okta，将新添加的应用指派给您的用户。导航到应用>> 指派应用并选择PAM360 应用，选择所需用户并确认指派。

4）在PAM360中启用SAML单点登录：

最后一步是在PAM360中启用SAML单点登录。在PAM360页面的第四步，点击立即启用，即可开始使用该功能。

注意：如果已经为PAM360登录启用了活动目录验证，那你将无法启用 SAML SSO。您需要先禁用活动目录验证，请导航到管理 -->活动目录下，进行禁用。


使用SAML配置单点登录 ManageEngine PAM360支持SAML 2.0，十分便于与身份管理解决方案进行集成、进行单点登录。PAM360扮演服务提供者（SP），并使用SAML2.0与身份提供者（IdP）进行集成。集成主要用于提供关于服务提供者（SP）到身份提供者（IdP）的详细信息，或者相反。一旦将IdP集成到PAM360，用户必须登录到Okta，然后，他们可以从相应的身份提供者的用户界面自动登录到PAM360，不必再次输入登录凭证。PAM360支持与Okta进行集成。在Okta中添加PAM360作为一个应用的步骤: 按照以下步骤，将Okta集成到PAM360：在Okta界面将PAM360添加为一个应用在PAM360中配置 Okta 明细在Okta中将PAM360指给相应的用户在 PAM360 中启用单点登录 1）在Okta界面将PAM360添加为一个应用。使用管理员账户登录到Okta，然后点击应用标签。在打开的新页面中，选择添加应用。如下图所示，点击创建新的应用。页面会弹出一个应用集成类型的选择窗口，选择[SAML 2.0]并点击创建。输入要添加的应用名称（如PAM360），您也可以为该应用上传一个logo。完成后，点击下一步。配置SAML集成的第二步，需要将服务提供者（PAM360）的明细提交到Okta。导航到管理 >> SAML 单点登录，可以访问这些明细。红色高亮区标题为“服务提供者信息”部分包括了相关明细，您需要在OKta的SAML设置页面输入这些信息。填写完Single Sign On URL和SP Entity ID(Audience URI)字段后，您需要指定如何让Okta识别您PAM360中的用户。由于在Okta中显示的用户名与PAM360中的用户名可能不同，您必须指定格式。比如下面两种情况：场景1：如果您已经从AD向PAM360导入了用户，他们的格式应该是域名\用户名。更多关于集成Okta和AD的内容，请参照Okta帮助文档。在Okta，请从名称ID格式下拉列表中选择自定义。然后，请指定如下自定义格式： ${f:toUpperCase(f:substringBefore(f:substringAfter(user.login, "@"), "."))}${"\\"}${f:substringBefore(user.login, "@")} 场景2：如果您没有在PAM360中使用AD集成，您应该选择Okta Username Prefix。因为在Okta中，用户配置文件的格式为username@domain.com,但在PAM360中，用户名称为username。只有您在Okta中指定了正确的名称ID格式，才可以将应用（PAM360）指派给Okta中的用户。完成上述步骤后，点击完成，应用明细如下图所示。点击登录，然后选择查看安装说明，打开一个新的页面，其中包含在PAM360中配置SAML 2.0所需的详细信息，如下所示： 2）在PAM360中配置Okta明细您需要在PAM360中配置IdP明细。我们需要在PAM360的SAML单点登录页面的第二步“配置身份提供者信息”中进行配置。您可以手动输入信息，也可以通过上传IdP文件，自动填写所需信息。手动配置：如果您选择手动输入信息，请从Okta“Setup Instructions”页面获取IdP明细，如Issuer ID，Login URL,或Logout URL，这与SAML单点登录配置页面的第二步的配置相同。在相应字段输入信息，下载Okta证书，并上传到PAM360（如第三步所示），另外，您也可以将证书保存在PAM360文件库或密钥库，以供使用。自动配置IdP信息：向下滚动Okta SAML 2.0配置说明页面，在可选下，可以找到IdP metadata信息，复制该文本并将其保存在一个.xml文件中并将该.xml文件上传到PAM360。这样，您就不必手动向PAM360导入IdP证书了，它将会自动更新。 3）将应用指给Okta用户在PAM360中完成配置后，回到Okta，将新添加的应用指派给您的用户。导航到应用>> 指派应用并选择PAM360 应用，选择所需用户并确认指派。 4）在PAM360中启用SAML单点登录：最后一步是在PAM360中启用SAML单点登录。在PAM360页面的第四步，点击立即启用，即可开始使用该功能。注意：如果已经为PAM360登录启用了活动目录验证，那你将无法启用 SAML SSO。您需要先禁用活动目录验证，请导航到管理 -->活动目录下，进行禁用。
© 2021， ZOHO 公司，保留所有权利。