[V11功能解说] 如何使用Microsoft Azure设置SAML2身份验证?
SAML2是一种使用独立的外部身份认证的方法,可以在EM企业管理内使用。 对于SAML2以及OAuth2,只有成功通过专用外部服务器的身份验证时,应用程序才会授予访问权限。这是通过Microsoft Azure使用SAML2的示例。我们无法提供通过每个身份提供商使用的示例,你可能需要从自己的配置中推断出信息才能正确使用身份验证。
请务必查看SAML2在线帮助主题,并与你的Sage认证业务合作伙伴密切合作,了解与你的环境相关的配置。
[b]请注意:[/b]若要为应用程序配置单点登录,你必须使用Azure Active Directory Premium版本。
1. 你必须先向Azure门户添加非图库应用:
摘自关联的Microsoft文档:若想使用应用集成模板来连接应用程序,就需使用[b]Azure Active Directory管理员账户登录Azure门户。浏览至:Active Directory(活动目录) > Enterprise Applications(企业应用) > New application(新应用) > Non-gallery application(非图库应用)[/b]版块,选择[b]Add(添加)[/b],接着选[b]Add an application from the gallery(从图库中添加应用)[/b]。
[attach]4875[/attach]
2. 选择[b]“配置单点登录(必填)”[/b]
[attach]4876[/attach]
3. 将[b]“基于SAML的登录”[/b]选为[b]“单点登录模式”[/b]
[attach]4877[/attach]
[b]请注意:[/b]门户网站中有一些有用的帮助主题可以帮助你了解如何继续操作。
我们先来看一下Sage EM企业管理的配置:
4. 你需要更改nodelocal.js,以允许SAML2身份验证。
[b]请注意:[/b]你必须在完成更改后重启Syracuse服务。
[attach]4878[/attach]
5. 在Sage X3中,打开功能:[b]管理→管理→参数设置→身份验证→SAML2 ID供应商[/b]。
6. 点击[b]“+创建saml2”[/b]
[attach]4879[/attach]
7. 配置界面类似于以下内容:
[b]请注意:[/b]我没有显示如何使用一个证书,但其实可以这样做。
[attach]4880[/attach]
8. 此处,我们可以通过下载要上传到Microsoft Azure门户的元数据来走一下捷径。
a. 如果右侧[b]“明细”[/b]按钮可用的话,请点击这个按钮
b. 点击[b]“获取元数据”[/b]按钮
[attach]4881[/attach]
[b]结果:[/b]这样做就会下载一个名为[b]metadata[/b]的文件。
现在,我们返回Microsoft Azure门户。
9. 点击链接[b]“上传元数据文件”[/b]。请注意:这是版块2中的,且有域名和URLs。
10. 上传元数据配置文件。[b]请注意:[/b]你需要点击下拉菜单选项为“来自* .xml的所有文件”。
[attach]4882[/attach]
11. 单点登录配置的剩余部分界面看起来会类似于下面这样:
[attach]4883[/attach]
12. SAML2的配置完成,但是;你还需要确保:
• 在Sage EM企业管理(管理→管理→用户→用户)中,你的用户已经设置为通过SAML2验证身份,并且有配置好的供应商。
• 在Microsoft Azure中,应用程序也需要给用户和群组分配合适的角色。
13. 自Sage EM企业管理登录屏幕点击外部应用链接时,你将会被重定向到通过Microsoft进行身份验证。
[attach]4884[/attach]
一旦通过了身份验证,你就有权访问EM企业管理系统,且系统会跳转至登陆页面。
需考虑的已经解决的已知问题:
• 存在一个已知问题,即元数据未创建正确的“回复URL”。它使用的是http而不是https。但Syracuse组件的最新版本已经解决了这个问题。
• SAML2重定向也有一个已知问题。如果用户清除了浏览器缓存,则会弹出一个需要用户点击的错误消息。这个问题自Syracuse 11.10起得到了解决。
页:
[1]