ADManager Plus单点登录

 

NTLM认证

启用单点登录,请按照下列步骤操作:

  • 点击委派标签。
  • 点击左侧配置中的单点登录
  • 勾选启用Active Directory单点登录
  • 选择域下拉框中选择要启用单点登录的域。
  • 点击保存设置

修改已有的单点登录设置:

  • 点击委派标签。
  • 点击左侧配置中的单点登录
  • 针对要修改设置的域,点击状态列中的编辑图标。
  • 在相应的字段中输入计算机名称密码
  • 如果域中不存在计算机,请点击在域中创建此计算机帐户复选框,以使用输入的凭据创建计算机。
  • 如果出现消息创建计算机帐户时出错,则可以手动输入DNS服务器和DNS站点。
  • 点击保存

识别DNS服务器IP地址:

  • 从属于所选域的计算机打开命令提示符。
  • 输入ipconfig/all,然后按Enter键。
  • 使用DNS服务器下面显示的第一个IP地址。

识别DNS站点:

  • 在Active Directory中打开Active Directory站点和服务。
  • 展开站点并标识在所选域下配置的域控制器所在的站点。
  • 使用DNS站点作为站点名称。

SSO故障排除步骤:

受信任的站点是可以无缝执行NTLM身份验证的站点。如果SSO失败,则最可能的原因是ADManager Plus URL不是浏览器受信任站点的一部分。请将ADManager Plus URL添加到受信任站点列表中。请按照以下步骤操作:

  • Internet Explorer
  • Google Chrome
  • Mozilla Firefox
注意:
  • 建议您在将URL添加到“受信任的站点”列表后关闭所有浏览器会话,以使更改生效。
  • Google Chrome和Internet Explorer使用相同的互联网设置。在Internet Explorer或Chrome中更改设置将在两个浏览器中启用NTLM SSO。再次建议关闭两个浏览器会话以启用更改。

Internet Explorer:

  • 打开Internet Explorer,并点击工具按钮。
  • 点击Internet选项。
  • 在打开的“Internet选项”对话框中,点击“安全”标签,然后点击安全区域(本地Intranet、受信任的站点或受限制的站点)。
  • 点击站点。
  • 如果您使用的是IE 11,请点击高级按钮并将ADManager Plus站点添加到Intranet站点列表中。
  • 如果您使用的是低于IE 11的版本,请将ADManager Plus站点添加到Intranet站点列表中。
  • 点击关闭,然后点击确认。
  • 关闭所有浏览器会话,然后重新打开浏览器。

Google Chrome

  • 打开Chrome并点击自定义和控制Google Chrome图标(地址栏最右侧的3条水平线图标)。
  • 点击设置,滚动到底部,然后点击显示高级设置链接。
  • 在“网络”部分下,点击“更改代理设置”。
  • 在打开的“Internet属性”对话框中,导航到“安全”标签-->“本地Intranet”,然后点击“站点”。
  • 点击高级并将ADManager Plus的URL添加到Intranet站点列表中。
  • 点击关闭,然后点击确认。
  • 关闭所有浏览器会话,然后重新打开浏览器。

Mozilla Firefox

  • 打开Firefox Web浏览器并在地址栏中输入about:config。
  • 点击接受风险并继续。
  • 在搜索字段中,输入: network.automatic-ntlm-auth.trusted-uris。
  • 双击“network.auto-ntlm-auth.trusted-uris”首选项,并在提示框中输入AD360的URL。如果已列出站点,请输入逗号,然后输入ADManager Plus的URL。点击确定保存更改。
  • 关闭所有浏览器会话,然后重新打开浏览器。

SAML认证

您可以通过以下任一流行的身份提供商设置单点登录访问ADManager Plus。

设置ADManager Plus单点登录的步骤

步骤 1: 将ADManager Plus添加为身份管理解决方案中的自定义应用

步骤 2: 在ADManager Plus中配置身份管理解决方案的设置

使用Okta配置单点登录

步骤 1: 在Okta中配置ADManager Plus

  • 登录到Okta门户。
  • 在应用标签中,点击添加,并选择创建新应用。
  • 选择平台为Web,选择单点登录方式为SAML 2.0,然后点击创建。
  • 在常规设置中,提供连接的名称。例如,ADManager Plus-MFA并上传应用的Logo。
  • 在配置SAML部分中,输入可从ADManager Plus-> 委派 -> 配置 -> 单点登录 -> SAML 认证 -> Okta ->ACS/收件人url中获取的单一登录URL和访问群体URI的值。
  • 点击完成。配置完成后,进入登录标签以下载元数据文件。

步骤 2: 在ADManager Plus中配置Okta

  • 登录到ADManager Plus。
  • 点击委派标签。选择配置中的单点登录选项。点击SAML身份验证。
  • 从下列列表中选择Okta。
  • 上传步骤1中获取的元数据文件。
  • 如果希望用户仅通过SAML单点登录登录产品,请启用强制登录选项。
  • 点击保存完成配置。

使用OneLogin配置单点登录

步骤 1: 在OneLogin中配置ADManager Plus

  • 登录到OneLogin门户。
  • 点击应用标签,并选择添加应用。
  • 点击应用类型中的SAML测试连接器。
  • 输入配置显示名称并上传应用程序的Logo。点击“下一步”。
  • 在配置标签下,输入收件人、受众URI和ACS URL,可以从ADManager Plus门户中的ADManager Plus-> 委派 -> 配置 -> 单点登录 -> SAML 认证 -> OneLogin -> ACS/收件人url中获取。
  • 点击顶部面板中的更多动作,然后点击SAML元数据以下载元数据文件。
  • 点击保存完成在OneLogin中的配置。

步骤 2: 在ADManager Plus配置OneLogin:

  • 登录到ADManager Plus。
  • 点击委派标签。选择配置中的单点登录选项。点击SAML身份验证。
  • 从下列列表中选择OneLogin。
  • 上传步骤1中获取的元数据文件。
  • 如果希望用户仅通过SAML单点登录登录产品,请启用强制登录选项。
  • 点击保存完成配置。

使用Ping Identity配置单点登录

步骤 1: 在Ping Identity中配置ADManager Plus

  • 登录到Ping Identity门户。
  • 点击应用 -> 我的应用 -> 添加应用 -> 新建SAML应用。
  • 输入应用名称、描述、类别以及Logo,并进行下一步。
  • 上载元数据文件,您可以自动填充ADManager Plus的配置信息,通过ADManager Plus-> 委派 -> 配置 -> 单点登录 -> SAML 认证 -> Ping Identity ->下载SP元数据获取。
  • 另一种选择是输入ACS URL和实体ID,可通过登录到ADManager Plus-> 委派 -> 配置 -> 单点登录 -> SAML 认证 -> OneLogin -> ACS/收件人url中获取。
  • 如果希望用户仅通过SAML单点登录登录产品,请启用强制登录选项。
  • 在下一步中,点击保存并发布。
  • 配置完成后,即可下载元数据文件。

步骤 2: 在ADManager Plus中配置Ping Identity

  • 登录到ADManager Plus。
  • 点击委派标签。选择配置下的单点登录选项,点击SAML认证
  • 从下拉列表中选择Ping Identity。
  • 上传步骤1中获取的元数据文件。
  • 如果希望用户仅通过SAML单点登录登录产品,请启用强制登录选项。
  • 点击保存完成配置。

使用自定义身份提供商配置单点登录

您可以配置您选择的任何自定义身份提供商,以启用单点登录来访问ADManager Plus。为此,请按照上述步骤在首选身份提供商中配置ADManager Plus设置。

在ADManager Plus中配置自定义身份提供商

  • 登录到ADManager Plus。
  • 点击委派标签。选择配置下的单点登录选项,点击SAML认证
  • 从下拉列表中选择自定义SAML。
  • 上传自定义身份提供商的元数据文件。
  • 如果希望用户仅通过SAML单点登录登录产品,请启用强制登录选项。
  • 点击保存完成配置。

使用Active Directory联合身份验证服务(ADFS)配置单点登录

前提条件

要在ADManager Plus中配置ADFS进行身份验证,您需要以下组件:
  • 您需要安装ADFS服务器。安装和配置ADFS的详细步骤可以在这篇Microsoft文章中查看。
  • 用于签名ADFS登录页的SSL证书和该证书的指纹。

配置步骤:

对于尝试通过ADFS身份验证访问ADManager Plus的用户,仅配置基于表单的身份验证方法-既用于Intranet,也用于Extranet。您可以在身份验证策略→主要身份验证→全局设置中查看此设置。

Claim Rules和Relying Party Trust

在配置期间,您将需要添加Relying Party Trust并创建Claim Rules。创建Relying Party Trust时为了通过验证claims在两个应用程序之间建立连接以进行身份验证。在这种情况下,ADFS将信任依赖方(ADManager Plus)并根据生成的claims对用户进行身份验证。通过对Claim Rules应用某些条件,可以根据Claim Rules生成claims。 声明是用于标识实体以建立访问权限的属性。 例如,Active Directory userPrincipalName。

添加Relying Party Trust

步骤:

  1. ADFS和ADManager Plus之间的连接是使用Relying Party Trust(RPT)创建的。从AD FS中选择Relying Party Trust文件夹。
  2. 从地址栏中,选择添加Relying Party Trust。将打开“添加Relying Party Trust窗口”。
  3. 点击开始。
  4. 在选择数据源页面中,点击手动输入有关Party的数据选项,然后点击下一步。
  5. 在“指定显示名称”页面中,输入您选择的显示名称,如果需要,还可以添加其他注释。点击“下一步”。
  6. 在选择配置文件页中,点击ADFS FS配置文件按钮。点击“下一步”。
  7. 在配置证书界面中,已应用默认设置。点击“下一步”。
  8. 在配置URL界面中,选中标记为“启用SAML 2.0 WebSSO协议支持”的复选框。依赖方SAML 2.0 SSO服务URL将是您的ADManager Plus服务器的ACS URL。请注意,URL末尾没有斜杠。例如: https://admp.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f

    注意:

    1. ACS URL/Recipient URL: 使用管理员凭据登录ADManager Plus Web控制台。

    2. 委派 -> 配置 -> 单点登录 -> SAML 认证 -> ACS URL/Recipient URL,复制ACS URL/Recipient URL。

    9.  

  9. 在下个页面中,对于“Relying party trust标识符”选项,添加https://admp.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f
  10. 在下个页面中,您可以选择配置依赖方信任的多因素身份验证设置。点击“下一步”。
  11. 在“选择发布授权规则”页中,您可以选择允许所有用户访问此依赖方或拒绝所有用户访问此依赖方。点击下一步.
  12. 接下来的两页将显示您已配置的设置的概述。在“完成”页中,点击“关闭”退出向导。如果您选择了向导关闭时打开此依赖方信任的“编辑Claim Rules”对话框选项,则Claim Rules编辑器将自动打开。

创建Claim Rule

一旦配置了Relying party trust,您就可以使用Claim Rule编辑器创建Claim Rule,该编辑器在您完成创建信任时默认打开。

步骤:

  1. 点击添加规则。
  2. 从可用的Claim Rule模板列表中,选择将LDAP属性作为声明发送。点击“下一步”。
  3. 在下个页面中,提供Claim Rule名称并选择Active Directory作为属性存储。
  4. 从“LDAP属性”列中,选择userPrincipalName。
  5. 从输出Claim类型中,选择“名称ID”。
  6. 点击完成保存规则。

    注意:

    您可以选择多个LDAP属性,并将它们映射到其对应的传出声明类型。例如,您可以添加LDAP属性,如Given Name, Surname, Phone Number等。

  7. 点击完成后,即可查看已创建的规则。
完成ADFS配置后,通过点击身份提供商元数据链接下载元数据文件。例如: https://server_name/FederationMetadata/2007-06/FederationMetadata.xml。在ADManager Plus中配置SAML身份验证时,您将需要此文件。因此,请保存此文件并确保其安全。

故障排除:

  • 如果在身份提供商配置后出现以下错误消息,“很抱歉,找不到您请求的页面。请检查URL的拼写和大小写是否正确。如果您在查找目的地时遇到问题,请从我们的主页尝试。”请重新输入ACS/Receipient URL,然后重试。
  • 如果从身份提供商门户访问ADManager Plus时出错,请确保是否配置了默认中继状态字段。

使用Azure AD配置单点登录

步骤 1: 在Azure AD配置ADManager Plus

  1. 登录到Azure AD门户。
  2. 选择Azure Active Directory。
  3. 在左侧栏的管理中选择企业应用
  4. 在打开的企业应用 - 所有应用窗口中,点击+ 新建应用
  5. 对于ADManager Plus的初始配置,请点击Non-gallery应用。输入应用名称(ADManager Plus),然后点击添加。现在,它将列在企业应用 - 所有应用页面中。
  6. 点击所有应用中的ADManager Plus应用
  7. 在应用左侧栏的管理中,选择单点登录
  8. 设置单点登录页面,点击上传元数据,并上传从ADManager Plus-> 委派 -> 配置 -> 单点登录 -> SAML 认证 -> 自定义SAML ->下载SP元数据获取的文件。
  9. 现在回到Azure AD,转到SAML签名证书部分并下载元数据文件。稍后在ADManager Plus中配置Azure AD时将使用此文件。

步骤 2: 分配用户/组

  1. 登录到Azure AD门户。
  2. 选择Azure Active Directory。
  3. 在左侧栏的管理中选择企业应用,然后选择所有应用
  4. 从应用列表中,选择ADManager Plus。
  5. 从ADManager Plus应用左侧栏中,选择用户和组
  6. 点击+添加用户
  7. 添加分配页面中,点击用户和组以选择所需的用户和组。
  8. 点击分配

步骤 3: 在ADManager Plus中配置Azure AD

  1. 登录到ADManager Plus。
  2. 点击委派标签。
  3. 点击配置,选择登录设置
  4. 选择单点登录
  5. 勾选启用Active Directory单点登录选项,并选择SAML认证
  6. 身份提供商选择自定义SAML
  7. SAML配置模式中选择上传元数据文件
  8. 选择浏览并上传元数据文件,文件可登录Azure AD门户 → 企业应用-所有应用 → ADManager Plus → 管理 → 单点登录 → SAML签名证书 → 下载联盟元数据来获取。
  9. 输入服务提供商明细并下载元数据文件。
  10. 点击保存完成配置。

版权所有 © 2022, 卓豪(中国)技术有限公司,保留一切权利