单点登录

最后更新于:

您可通过SAML或NTLM认证设置单点登录。

SAML 身份验证

您可以为技术人员和管理员配置基于AD认证的单点登录,通过以下主流身份提供商访问产品:

使用Okta配置单点登录

步骤1:在Okta中配置产品

  1. 以管理员身份登录 Okta 门户。
  2. 在“应用程序”选项卡下,点击“应用程序”并选择“创建应用集成”。
  3. 选择SAML 2.0作为登录方法,然后单击“下一步”
  4. 常规设置中,于应用名称字段输入SAML应用名称(例如EventLog Analyzer)。如有需要可上传应用徽标,然后点击下一步
  5. 配置 SAML部分,输入以下值:
    • 单点登录URL
    • 受众URI

    注意:这两个字段的值可从EventLog Analyzer→设置→管理设置→常规→登录设置→单点登录→SAML身份验证中获取。复制ACS/接收方URL值并粘贴到单点登录URL字段。复制实体ID值并粘贴到受众URI字段。

  6. 选择应用程序用户名匹配项:userPrincipleName 或 samAccountName 或 Active Directory 用户名。
  7. 若需加密SAML断言,请点击显示高级设置,在断言加密选项中选择加密。其他加密选项保持默认设置。
  8. 上传加密证书(CA签名自签名证书,可从 设置→管理设置→常规→登录设置→单点登录→SAML身份验证→高级设置→加密配置→下载自签名证书 路径下载)。

    注意:若需配置多个ACS网址,请在其他可请求SSO网址中添加访问网址。

    例如,若存在其他访问网址:eventloganalyzer-server-1:

    8445

    请导航至设置 → 管理员设置 → 常规 → 登录设置 → 单点登录 → SAML认证

    配置页面显示的ACS网址:

    https://eventloganalyzer.com:8445/samlLogin/XXXXXXXXXXXXXXXXXXXXXXXXX

    需输入为 https://eventloganalyzer-server-1:8445/samlLogin/XXXXXXXXXXXXXXXXXXXXXXXX

  9. 其他设置保持默认即可。
  10. 点击完成
  11. 配置完成后,转到“登录”选项卡下载身份提供商元数据文件。

步骤 2:在产品中配置 Okta

  1. 以管理员身份登录EventLog Analyzer。
  2. 导航至设置→管理设置→常规→登录设置→单点登录→SAML 身份验证
  3. 勾选启用 Active Directory 单点登录复选框。
  4. 从身份提供商(IdP)下拉菜单中选择Okta
  5. 在 SAML 配置模式选项中,选择上传元数据文件
  6. 点击“浏览”按钮,上传步骤11(1)中获取的元数据文件。
  7. 在高级设置中,将SAML响应类型设为"签名",SAML断言类型设为"签名"
  8. 将签名算法设置为SHA256
  9. 在加密配置中,若断言经过加密,请配置断言加密。
  10. 点击保存以完成配置。

配置单点登录 - 使用 OneLogin

步骤 1:在 OneLogin 中配置产品

  1. 登录 OneLogin 门户。
  2. 点击管理,选择应用程序 → 应用程序...
  3. 点击应用程序选项卡,搜索SAML 测试连接器(身份提供商)并选择它。
  4. 输入应用程序的显示名称并上传图标。点击保存
  5. 配置选项卡下,填写ACS(消费者)URL验证器和ACS(消费者)URL的值。

    注意:这两个字段的值可从EventLog Analyzer →设置 → 管理员设置 → 常规 → 登录设置 → 单点登录 → SAML身份验证 → 身份提供商(IdP)→ OneLogin中获取。 复制ACS/接收方URL值并粘贴至这两个字段。

    若存在多个ACS网址,需在ACS(消费者)URL验证器中输入正则表达式。例如:若另有访问网址eventloganalyzer-server-1:8445

    配置页面显示的ACS网址:

    https://eventloganalyzer.com:8445/samlLogin/XXXXXXXXXXXXXXXXXXXXXXX

    则需输入正则表达式:^(https://eventloganalyzer.com:8445)|(https://eventloganalyzer-server-1:8445)/samlLogin/XXXXXXXXXXXXXXXXXXXXXXXX

  6. 选择与Active Directory用户的userPrincipleName、SamAccountName或用户名匹配的SAML名称标识符格式。
  7. 点击保存以完成 OneLogin 中的配置。
  8. 在顶部面板点击更多操作,选择SAML元数据下载元数据文件。

步骤 2:在产品中配置 OneLogin

  1. 以管理员身份登录EventLog Analyzer。
  2. 导航至设置→管理设置→常规→登录设置→单点登录
  3. 勾选启用单点登录复选框。
  4. 从身份提供商(IdP)下拉菜单中选择 OneLogin。
  5. 在 SAML 配置模式选项中,选择上传元数据文件
  6. 点击“浏览”按钮,上传步骤8(1)中获取的元数据文件。
  7. 点击高级设置
  8. 将SAML响应类型设为未签名。
  9. 将SAML断言设置为已签名。
  10. 选择您在OneLogin IDP中配置的签名算法。
  11. 选择声明加密为未加密。
  12. 点击保存以完成配置。

使用 Ping Identity 配置单点登录

步骤 1:在产品中配置 Ping Identity

  1. 登录Ping Identity门户。
  2. 点击应用程序 -> 我的应用程序 -> 添加应用程序 -> 应用程序类型 -> SAML应用程序
  3. 输入应用名称、描述及徽标后,点击配置
  4. 要自动填充EventLog Analyzer的配置详情,可上传元数据文件(路径:设置→管理设置→常规→登录设置→单点登录→SAML身份验证→Ping Identity→下载SP元数据)
  5. 另一种方式是手动输入ACS网址和实体ID,可通过导航至设置→管理设置→常规→登录设置→单点登录→SAML认证→Ping Identity→ACS/接收方网址获取。
  6. 点击保存
  7. 若需配置多个ACS网址,请前往配置页面,点击ACS网址下方的“添加”按钮并输入访问网址。

    例如,若您拥有另一个访问网址:eventloganalyzer-server-1:

    8445

    请依次导航至:设置 → 管理员设置 → 常规 → 登录设置 → 单点登录 → SAML身份验证

    配置页面显示的ACS网址:

    https://eventloganalyzer.com:8445/samlLogin/XXXXXXXXXXXXXXXXXXXXXXX

    需输入为 https://eventloganalyzer-server-1:8445/samlLogin/XXXXXXXXXXXXXXXXXXXXXXXX

  8. 若需加密SAML断言,请勾选加密启用
  9. 上传加密证书(CA签名自签名证书,可从 设置→管理员设置→常规→登录设置→单点登录→SAML认证→高级设置→加密配置→下载自签名证书 路径下载)。
  10. 若需对SAML请求进行签名,请勾选强制签名身份验证请求中的启用选项。
  11. 在概览中,点击属性,选择与Active Directory用户的userPrincipleName、SamAccountName或用户名匹配的saml_subject。
  12. 完成配置后即可下载元数据文件。

步骤 2:在产品中配置 Ping Identity

  1. 登录到事件日志分析器。
  2. 导航至设置→管理设置→常规→登录设置→单点登录
  3. 从下拉列表中选择 Ping Identity。
  4. 上傳步驟4(1)取得的元資料檔案。
  5. 点击保存以完成配置。

使用 AD FS 配置单点登录

要配置 AD FS 用于身份验证,您需要以下组件:

  1. 您需要安装 AD FS 服务器。有关安装和配置 AD FS 的详细步骤,请参阅此Microsoft 文章
  2. 用于签名 AD FS 登录页面的 SSL 证书及其指纹。

AD FS配置步骤:

信任方信任与声明规则

配置过程中需添加依赖方信任并创建声明规则。声明是用于识别实体以建立访问权限的属性。 例如Active Directory的UserPrincipalName。建立信任关系旨在通过验证声明实现两个应用程序间的认证连接。在此场景中,AD FS将信任依赖方(事件日志分析器),并基于生成的声明进行用户认证。声明通过声明规则应用特定条件生成。

步骤 1:添加信任方信任

  1. 通过受信任方信任(RPT)建立 AD FS 与 EventLog Analyzer 之间的连接。从 AD FS 中选择“受信任方信任”文件夹。
  2. 操作侧边栏中选择添加受信任方信任。添加受信任方信任向导随即启动。
  3. 单击“开始”
  4. 在"选择数据源"页面,点击"手动输入主体信息"选项后点击"下一步"。
  5. 在指定显示名称页面,输入自定义显示名称并添加备注(如需)。点击下一步
  6. 在配置证书页面,若需加密SAML断言,请上传加密证书(CA签名自签名证书,可从设置→管理设置→常规→登录设置→单点登录→SAML身份验证→高级设置→加密配置→下载自签名证书获取)。
  7. 在配置URL页面,勾选"启用SAML 2.0 WebSSO协议支持"复选框。 信任方 SAML 2.0 单点登录服务 URL 应为您的 EventLog Analyzer 服务器的 ACS URL。请注意 URL 末尾不带斜杠。例如:https://eventloganalyzer.com/samlLogin/XXXXXXXXXXXXXXXXXXXXXXXX
    注意
    • ACS URL/接收方URL:使用管理员凭据登录EventLog Analyzer网页控制台。
    • 导航至设置 → 管理设置 → 常规 → 登录设置 → 单点登录 → SAML 认证 → ACS URL/接收方 URL。复制该 URL。
  8. AD FS Configuration steps
  9. 在下一页中,针对"信任方标识符"选项,添加"签发者URL/实体ID"。
  10. AD FS Configuration steps
  11. 在选择签发授权规则页面,可选择允许所有用户访问此信任方或拒绝用户访问此信任方。点击下一步
  12. 后续两页将显示已配置设置的概览。在完成页面点击关闭退出向导。若在向导关闭时选择"为此应用程序配置声明发布策略"选项,声明规则编辑器将自动打开。

步骤2:创建声明规则

配置受信任方信任后,可通过声明规则编辑器创建声明规则(该编辑器在完成信任创建后默认打开)。

  1. 要创建新规则,请单击添加规则
  2. 从可用声明规则模板列表中选择“将 LDAP 属性作为声明发送”。单击“下一步”
  3. 在下一页中,输入声明规则名称并选择Active Directory作为属性存储。
  4. LDAP 属性列中,选择与 Active Directory 用户的用户主体名称、SamAccountName 或用户名匹配的属性。
  5. 在“发送声明类型”中选择“名称标识”。
  6. Creating a Claim Rule
  7. 完成 AD FS 配置后,点击“身份提供商元数据”链接下载元数据文件。例如:

    https://adfsserver.domain.com/FederationMetadata/2007-06/FederationMetadata.xml。配置 EventLog Analyzer 的 SAML 身份验证时需要此文件,请保存并妥善保管。

注意

若需配置多个ACS网址,请导航至"信任依赖方"并找到已创建的规则。右键单击该规则,选择"属性"。

在弹出的窗口中,切换至"端点"选项卡并点击"添加SAML"按钮。

将绑定方式设为 POST。

在"受信任URL"框中粘贴访问URL

例如,若您另有访问网址:eventloganalyzer-server-1:8445

导航至设置管理员设置常规登录设置单点登录SAML身份验证。

配置页面显示的ACS网址:

https://eventloganalyzer.com:8445/samlLogin/XXXXXXXXXXXXXXXXXXXXXXXX

需输入为 https://eventloganalyzer-server-1:8445/samlLogin/XXXXXXXXXXXXXXXXXXXXXXXX

Creating a Claim Rule

适用于 Windows Server 2016:

  1. 在ADFS服务器上以管理员权限打开PowerShell。
  2. 运行以下命令启用身份提供商发起式单点登录:

    Set-ADFSProperties -EnableIdPInitiatedSignonPage $true

  3. 运行以下代码启用RelayState:

    Set-ADFSProperties -EnableRelayStateForIDPInitiatedSignon $true

  4. 重启ADFS服务器。

步骤 3:在产品中配置 AD FS

  1. 以管理员身份登录事件日志分析器。
  2. 导航至设置→管理设置→常规→登录设置→单点登录
  3. 勾选启用单点登录复选框。
  4. 选择SAML 身份验证单选按钮。
  5. 从身份提供商(IdP)下拉菜单中选择AD FS
  6. 点击“浏览”按钮,上传步骤6(2)中下载的元数据文件。
  7. 在高级设置中,将SAML响应设为未签名,将SAML断言设为已签名。
  8. 将签名算法设置为SHA256。
  9. 在加密配置中,若断言经过加密,请配置断言加密。
  10. 点击保存

通过 AD FS 访问产品

  1. 访问事件日志分析器时请使用以下网址:

    https://adfsserver.domain.com/idpinitiatedsignon.aspx

  2. ADFSserver 是部署 ADFS 的服务器。
  3. 从应用程序列表中选择EventLog Analyzer应用名称。

使用自定义身份提供商配置单点登录

您可配置任意自定义身份提供者以启用单点登录访问EventLog Analyzer。请参照前文所述支持的身份提供者配置步骤,在所选身份提供者中设置EventLog Analyzer。

在产品中配置自定义身份提供商

  1. 以管理员身份登录事件日志分析器。
  2. 导航至管理 -> 管理设置 -> 登录设置 -> 单点登录。
  3. 勾选启用单点登录复选框
  4. 选择SAML 身份验证单选按钮。
  5. 从下拉列表中选择自定义身份提供商
  6. 上传自定义身份提供商的元数据文件。
  7. 点击保存以完成配置。

NTLM 身份验证

要启用基于NTLM的单点登录,请执行以下步骤:

要为多个组件和域启用单点登录,请执行以下步骤:

  1. 导航至设置 → 管理员设置 → 常规 → 登录设置 → 单点登录设置
  2. 勾选启用 Active Directory 单点登录复选框。
  3. 注意:若要为 ManageEngine EventlogAnalyzer 启用 NTLMv2 单点登录,需下载 Jespa JAR 文件并将其添加到产品的 lib 文件夹中。更多信息请点击此处。若已启用 NTLMv2 单点登录,可继续使用该功能且无需进一步操作。

  4. "选择组件"下拉框中选取需启用单点登录的组件。
  5. 注意:仅当组件支持单点登录时才会显示。

  6. "选择域"下拉框中选择需要启用单点登录的域。
  7. 点击保存设置
  8. 注意:若产品以服务形式安装,请按以下步骤配置具有管理员权限的服务账户:
    • 单击“开始”→“运行”→“services.msc”
    • 找到名为Manageengine EventLogAnalyzer 的服务。
    • 右键单击该服务,选择“属性”→“登录”
    • 选择“此账户”并输入凭据。

修改现有单点登录设置:

  1. 导航至设置 → 管理员设置 → 常规 → 登录设置 → 单点登录设置
  2. 在状态列中点击您要修改设置的域对应的icon-edit 图标。
  3. 在相应字段中输入计算机名称和 密码。若该计算机尚未加入域,请勾选"在域中创建此计算机账户"复选框,系统将使用输入的凭据创建计算机账户。
  4. 点击“高级”。若输入计算机名称和密码后DNS服务器DNS站点未自动填充,请手动输入。
  5. 点击保存
注意

识别DNS服务器IP地址的方法:

从所属域内的计算机打开命令提示符

输入ipconfig /all并按回车键

使用DNS服务器项下列出的首个IP地址

识别DNS站点:

打开Active Directory站点和服务

展开站点列表,定位包含目标域下配置的域控制器所在的站点

使用站点名称作为DNS站点

请参考下图。

Creating a Claim Rule
Creating a Claim Rule

SSO - NTLM 身份验证故障排除步骤:

在进行故障排除前,请确保已完成以下操作:

  1. 已将该站点添加至受信任站点列表。
  2. 在事件日志分析器的"技术人员和角色"中添加了技术人员的详细信息,并为其启用了单点登录。
  3. 在工作组计算机上无法访问EventLog Analyzer Web客户端。
  4. 在已配置单点登录的域内计算机上访问EventLog Analyzer Web客户端。
  5. 未在隐私或无痕窗口中访问EventLog Analyzer Web客户端。

I. 修改浏览器设置以允许单点登录

受信任站点是指可与NTLM身份验证无缝交互的网站。若单点登录失败,最可能的原因是EventLog Analyzer网址未被添加至浏览器的受信任站点列表。请将EventLog Analyzer网址加入受信任站点列表,具体操作如下:

注意:建议您在将网址添加到受信任站点列表后关闭所有浏览器会话,以便更改生效。

注意Google Chrome 和 Microsoft Edge 使用相同的互联网设置。在 Microsoft Edge 或 Chrome 中更改设置将使 NTLM 单点登录在两个浏览器中生效。同样建议关闭两个浏览器的会话以使更改生效。

Microsoft Edge

  • 打开控制面板 → 点击“Internet选项”按钮。
  • 在打开的"Internet选项"对话框中,点击"安全"选项卡,然后选择安全区域(本地 intranet、受信任站点或受限站点)。
  • 点击“站点”
  • 点击“高级”按钮,将EventLog Analyzer站点添加到内联网站点列表中。
  • 点击关闭,然后点击确定
  • 关闭所有浏览器会话并重新打开浏览器。

Chrome

  • 打开控制面板 → 点击 “Internet 选项”按钮。
  • 在打开的“Internet 选项”对话框中,单击“安全”选项卡,然后单击一个安全区域(本地 Intranet、受信任站点或受限站点)。
  • 单击“站点”
  • 单击“高级”按钮,将EventLog Analyzer站点添加到内联网站点列表中。
  • 单击“关闭”,然后单击“确定”。
  • 关闭所有浏览器会话并重新打开浏览器。

Firefox

  • 打开 Firefox 网页浏览器,在地址栏中输入about:config
  • 在警告窗口中点击“我保证小心操作”。
  • 搜索框中输入:network.automatic-ntlm-auth.trusted-uris
  • 双击“network.automatic-ntlm-auth.trusted-uris”首选项,在提示框中输入EventLog Analyzer的URL。若已有站点列出,请输入逗号后再添加EventLog Analyzer的URL。点击“确定”保存更改。
  • 关闭所有浏览器会话并重新打开浏览器。

II. 检查计算机账户配置

状态:创建计算机账户时出错

Creating a Claim Rule

此错误可能由以下任一原因导致:

事件日志分析器中的域凭据无效

当事件日志分析器域设置部分指定的用户账户凭据过期时可能发生此情况。请按以下步骤更新凭据并同步至事件日志分析器:

  1. 使用管理员凭据登录EventLog Analyzer网页控制台。
  2. 依次点击设置 → 管理设置 → 管理 → 域与账户,更新域凭据(即用户名和密码)。
  3. 导航至EventLog Analyzer → 管理选项卡,点击"立即同步"按钮,将更新后的域凭据同步至EventLog Analyzer。

EventLog Analyzer无法访问域控制器

当EventLog Analyzer无法连接指定域控制器时,需添加可访问的备用域控制器。操作步骤如下:

  1. 使用管理员凭据登录EventLog Analyzer网页控制台。
  2. 点击设置 → 管理员设置 → 管理 → 域和帐户,指定相关域控制器的名称,并输入EventLog Analyzer应使用的帐户凭据。
  3. 通过导航至“设置”→“管理员设置”→“管理”→“域和帐户”选项卡,点击“立即同步”按钮,将更新后的域控制器与EventLog Analyzer同步。

密码策略不符

当自动创建的计算机账户密码不符合域密码策略设置时会出现此错误。需手动创建符合域策略设置的计算机账户密码以解决此问题,具体操作如下:

  • 点击状态栏中显示“创建新计算机账户失败”的错误提示(对应您需要创建计算机账户的域)。
  • 通过手动输入计算机名称密码创建计算机账户。