使用 Active Directory 联合服务 (AD FS) 配置对 ADAudit Plus 的单点登录

第一步：在 AD FS 中配置 ADAudit Plus

先决条件

要在 ADAudit Plus 中配置 AD FS 进行身份验证，您需要：

1. 安装 AD FS 服务器。有关安装和配置 AD FS 的详细步骤，请参阅此 Microsoft 文章.
2. 用于签名 AD FS 登录页面的 SSL 证书及该证书的指纹。

配置步骤

查看此设置

声明规则与依赖方信任

配置过程中，您需要添加依赖方信任并创建声明规则。依赖方信任用于通过验证声明来建立两个应用之间的认证连接。

1. 在此情况下，AD FS 将信任依赖方（ADAudit Plus）并基于生成的声明进行用户认证。声明是通过对声明规则应用某些条件生成的。声明是用于标识实体以建立访问权限的属性。例如 Active Directory 的 SAMAccountName。 打开.
2. AD FS 管理控制台 AD FS 与 ADAudit Plus 之间的连接是通过依赖方信任 (RPT) 创建的。选择 依赖方信任

   

3. 文件夹。 点击操作 > 添加依赖方信任
4. 。打开添加依赖方信任向导后，点击开始。 在“选择数据源”页面，点击手动输入依赖方数据 ，然后点击.

   

5. 下一步 在 指定显示名称
6. 下一步 页面，输入您选择的显示名称，并根据需要添加附加备注。点击下一步。 在选择配置文件 页面，点击AD FS 配置文件 ，然后点击.
7. 下一步 。点击 配置证书 ，然后点击.
8. 下一步 页面，默认设置已应用。点击 配置 URL 页面，勾选启用对 SAML 2.0 WebSSO 协议的支持
   注意:

   。依赖方的 SAML 2.0 SSO 服务 URL 将是 ADAudit Plus 的 ACS URL。

   URL 末尾不带斜杠。例如：

   https://ADAuditPlus-server/samlLogin/955060d15d6bb8166c13b8b6e10144e5f755c953 获取 ACS URL 值，打开ADAudit Plus 控制台 ，导航至管理 → 管理 → 登录设置 → 单点登录 。勾选启用单点登录 ，并选择SAML 认证 → 身份提供商 (IdP) → ADFS

9. 。您可以在此处找到 ACS URL/收件人 URL 值。 在配置标识符页面，在依赖方信任标识符字段，粘贴.
   注意实体 ID 值 ：要查找 实体 ID 值，打开ADAudit Plus 控制台 ，导航至管理 → 管理 → 登录设置 → 单点登录 。勾选启用单点登录 ，并选择值，请登录到
10. 。您可以在此处找到实体 ID 值。 ，然后点击.
11. 在“现在配置多因素认证？”页面，您可以选择为依赖方信任配置多因素认证设置。点击 在“选择发行授权规则”页面，您可以选择AD FS 配置文件 ，然后点击.
12. 允许所有用户访问此依赖方 接下来的两个页面将显示您配置设置的概要。在完成页面，点击 关闭 以退出

    向导。 保持 向导关闭时打开此依赖方信任的编辑声明规则对话框

    

13. 选中，以自动打开声明规则编辑器。 在声明规则编辑器中，切换到发行转换规则标签，点击.
14. 添加规则 从声明规则模板下拉列表中选择手动输入依赖方数据 ，然后点击.

    

15. 发送 LDAP 属性作为声明 在配置声明规则页面，提供启用单点登录 声明规则名称 ，从属性存储下拉列表中选择 Active Directory 。在 LDAP 属性列中，选择 User-Principal-Name 。在 。在手动输入依赖方数据 传出声明类型.

    

16. 中选择 Name ID.
17. 完成 现在您可以查看已创建的规则。点击 确定 之后，点击 身份提供方元数据
    注意链接下载

    元数据文件

18. 。例如：https://<server_name>/FederationMetadata/2007-06/FederationMetadata.xml。 ：将 <server_name> 替换为 AD FS 主机名保存此文件，配置 ADAudit Plus 的 SAML 认证时需要使用。 回到 依赖方信任 ，找到您创建的规则。右键点击规则，选择 属性.

    

19. 。在弹出窗口，点击 终结点 → 添加 SAML → 确定.
    注意。在受信任 URL 字段，粘贴 值，打开ADAudit Plus 控制台 ，导航至管理 → 管理 → 登录设置 → 单点登录 。勾选启用单点登录 ，并选择SP 注销 URL Name ID.
20. ：要获取 SP 注销 URL，打开 。你可以在这里找到 SP 注销 URL 值。点击下一步，然后点击 签名.
    注意，上传 值，打开ADAudit Plus 控制台 ，导航至管理 → 管理 → 登录设置 → 单点登录 。勾选启用单点登录 ，并选择X.509 证书 Name ID.

：要获取 X.509 证书，打开

先决条件

。你可以在这里找到 X.509 证书。点击

第二步：在 ADAudit Plus 中配置 AD FS

• 在 AD FS 中启用 RelayState。
• 对于 Windows Server 2012
  在您的 AD FS 服务器中，找到 %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config 文件。
  在 <microsoft.identityServer.web> 节中，输入以下代码：<useRelayStateForIdpInitiatedSignOn enabled="true" />
  …..
  示例代码：
  <microsoft.identityServer.web>
• <useRelayStateForIdpInitiatedSignOn enabled="true" /> </microsoft.identityServer.web>.

重启

• AD FS 服务器 对于 Windows Server 2016： 在您的 AD FS 服务器上打开 提权的 PowerShell 提示符启用单点登录 （右键点击PowerShell
• 以管理员身份运行） Set-ADFSProperties -EnableIdPInitiatedSignonPage $true
• 运行以下代码以启用 RelayState： Set-ADFSProperties -EnableRelayStateForIDPInitiatedSignon $true
• <useRelayStateForIdpInitiatedSignOn enabled="true" /> </microsoft.identityServer.web>.

登录到 ADAudit Plus Web 控制台 使用管理员凭据，并导航至 ，导航至管理 → 管理 → 登录设置 → 单点登录 。勾选启用单点登录 ，并选择.

• 文件夹。 浏览，上传您在步骤 1 中下载的元数据文件：17. 点击 保存.
• 如有需要，启用 单点注销 在 高级设置.
• 高级设置配置：
  注意：确保此处选择的配置设置与您的 AD FS 中配置的设置匹配。

  

  认证请求配置

  设置	描述	可用值
  SAML 请求	定义发送至 AD FS 的认证请求是否经过数字签名	已签名 未签名
  认证上下文类	指定 AD FS 应使用的方法来认证用户	无 Windows 认证 Kerberos PasswordProtectedTransport 密码 TLS 客户端 未指定 签名

  SAML 响应配置

  设置	描述	可用值
  SAML 响应	指定来自 AD FS 的整体 SAML 响应是否被签名	已签名 未签名
  SAML 断言	指定响应中的 SAML 断言是否被签名	已签名 未签名
  签名算法	定义在 SAML 响应中用于生成数字签名的算法	SHA1 SHA256 SHA384 SHA512

  加密配置

  设置	描述	可用值
  断言加密	确定从 AD FS 返回的 SAML 断言是否被加密	已加密 未加密
  加密证书	用于加密断言的证书	自签名 CA 签名

通过 AD FS 访问 ADAudit Plus

1. 要访问 ADAudit Plus，请使用以下提供的 URL： https:// <ADFSserver>/adfs/ls/idpinitiatedsignon.aspx
2. 其中 ADFSserver 是部署 AD FS 的服务器。
3. 在 AD FS Web 控制台中，选择 ADAudit Plus 从应用程序列表中。