注意：针对Desktop Central讨论的所有SAML配置和身份验证步骤也适用于Patch Manager Plus和Vulnerability Manager Plus。

什么是SAML身份验证？

安全断言标记语言（SAML）实际上是一种开放标准，用于在服务提供商和身份提供商之间交换身份验证和授权详细信息。详细信息的交换是通过包含用户数据的数字签名XML文档来完成的。Desktop Central提供对SAML 2.0身份验证的支持。通过启用此功能，用户可以通过支持SAML身份验证的单点登录（SSO）服务登录到Desktop Central。

要知道的术语：

服务提供商 - 提供特定服务的应用程序，通过SSO请求的安全断言对用户进行身份验证和授权。例如：CRM、Desktop Central等。

身份提供商 - 维护和管理用户凭证的实体。例如：Okta、OneLogin等。

单点登录服务 - 由身份提供商提供的一种服务，它有一个集中的登录系统，在该系统中，用户只需输入一次凭证，然后身份验证和授权的详细信息将传递给不同的服务提供商，以授予用户访问权。

SSO的主要优点是它具有集中身份验证，因此用户无需记住多个密码即可访问不同的应用程序。

SAML身份验证是如何工作的？

当用户尝试登录以访问服务提供商时，该用户将被重定向到SSO登录页。输入凭证后，SSO将把信息传递给服务提供商。此外，服务提供商将基于SSO提供的身份验证和授权详细信息来决定何时向用户授予访问权。

先决条件：

由于IdP重定向是通过HTTPS端口进行的，所以HTTPS端口必须保持打开。ACS URL仅使用HTTPS生成。
身份提供商应支持HTTP POST绑定。
来自身份提供商的证书不应被篡改、加密或过期，并且应以base64格式编码。

配置Desktop Central和...之间的SAML身份验证设置

须在IdP中输入Desktop Central提供的数据

登录到Desktop Central后，进入管理页签，然后选择SAML身份验证。在这里，您可以找到Desktop Central提供的详细信息，并输入IdP侧。

Entity ID
Entity ID是一个全局唯一标识符，用于表示您的Desktop Central实例。
断言使用者服务URL（ACS URL）
ACS URL或Reply URL是指向Desktop Central实例的终端，它告诉IdP将SAML响应发送到哪里。

注意：在Desktop Central中更改默认ACS URL的步骤：
1. 打开<Installation_directory>/Desktop Central server/conf/websettings.conf
2. 在新的一行中，输入saml.fqdn.name=<FQDN_Name>
3. 保存websettings.conf文件
4. 重启Desktop Central服务器
5. 重新配置SAML身份验证

其中FQDN_Nam是新的FQDN，不带端口。

注意：Entity ID和断言使用者URL都将出现在元数据XML中。

来自IdP的Desktop Central所需的数据

登录到Desktop Central后，进入管理页签，然后选择SAML身份验证。在底部，您必须输入IdP的详细信息。

Name ID
Name ID用于唯一标识尝试登录的用户 - 它可以是用户名或电子邮件ID。
注意：对于域用户，用户名的格式应为：domain\username，一些IdP可能不支持。
Login URL
Login URL是指向IdP的终端，它告诉Desktop Central将SAML请求发送到哪里。
证书
来自IdP的证书，由Desktop Central用于验证来自IdP的未来SAML请求。

注意：IdP中包含上述信息的联合元数据XML文件可以上传到Desktop Central。

注意：

要使用SAML成功登录，用户必须既在IdP中，又在Desktop Central中。
SAML身份验证可能无法在身份提供商不支持的浏览器中工作。
当前不支持SAML单次注销。
如果FQDN更改，则ACS URL将更改。这意味着ACS URL应该在身份提供商中再次手动更新。
在Desktop Central的SAML身份验证设置中，Name ID可以选择为用户名或电子邮件ID。身份提供程序中应选择相同的选项对用户进行身份验证。
在Desktop Central中，所有账户都应具有与之关联的唯一电子邮件ID。
配置身份提供商时，元数据文件必须具有以下三个参数：SSO URL、SSO签名证书、SSO绑定协议。