赛捷软件论坛 - Powered by Discuz! Board

标题: [V11功能解说] 如何使用Microsoft Azure设置SAML2身份验证？ [打印本页]

作者: lynn.yu 时间: 2018-12-7 17:26 标题: [V11功能解说] 如何使用Microsoft Azure设置SAML2身份验证？

SAML2是一种使用独立的外部身份认证的方法，可以在EM企业管理内使用。对于SAML2以及OAuth2，只有成功通过专用外部服务器的身份验证时，应用程序才会授予访问权限。

这是通过Microsoft Azure使用SAML2的示例。我们无法提供通过每个身份提供商使用的示例，你可能需要从自己的配置中推断出信息才能正确使用身份验证。

请务必查看SAML2在线帮助主题，并与你的Sage认证业务合作伙伴密切合作，了解与你的环境相关的配置。

请注意：若要为应用程序配置单点登录，你必须使用Azure Active Directory Premium版本。

1. 你必须先向Azure门户添加非图库应用：

摘自关联的Microsoft文档：若想使用应用集成模板来连接应用程序，就需使用Azure Active Directory管理员账户登录Azure门户。浏览至：Active Directory（活动目录） > Enterprise Applications（企业应用） > New application（新应用） > Non-gallery application（非图库应用）版块，选择Add（添加），接着选Add an application from the gallery（从图库中添加应用）。

[attach]4875[/attach]

2. 选择“配置单点登录（必填）”

[attach]4876[/attach]

3. 将“基于SAML的登录”选为“单点登录模式”
[attach]4877[/attach]

请注意：门户网站中有一些有用的帮助主题可以帮助你了解如何继续操作。

我们先来看一下Sage EM企业管理的配置：

4. 你需要更改nodelocal.js，以允许SAML2身份验证。

请注意：你必须在完成更改后重启Syracuse服务。

[attach]4878[/attach]

5. 在Sage X3中，打开功能：管理→管理→参数设置→身份验证→SAML2 ID供应商。

6. 点击“+创建saml2”
[attach]4879[/attach]

7. 配置界面类似于以下内容：

请注意：我没有显示如何使用一个证书，但其实可以这样做。

[attach]4880[/attach]

8. 此处，我们可以通过下载要上传到Microsoft Azure门户的元数据来走一下捷径。

a. 如果右侧“明细”按钮可用的话，请点击这个按钮
b. 点击“获取元数据”按钮
[attach]4881[/attach]

结果：这样做就会下载一个名为metadata的文件。

现在，我们返回Microsoft Azure门户。

9. 点击链接“上传元数据文件”。请注意：这是版块2中的，且有域名和URLs。

10. 上传元数据配置文件。请注意：你需要点击下拉菜单选项为“来自* .xml的所有文件”。
[attach]4882[/attach]

11. 单点登录配置的剩余部分界面看起来会类似于下面这样：
[attach]4883[/attach]

12. SAML2的配置完成，但是；你还需要确保：
• 在Sage EM企业管理（管理→管理→用户→用户）中，你的用户已经设置为通过SAML2验证身份，并且有配置好的供应商。
• 在Microsoft Azure中，应用程序也需要给用户和群组分配合适的角色。

13. 自Sage EM企业管理登录屏幕点击外部应用链接时，你将会被重定向到通过Microsoft进行身份验证。

[attach]4884[/attach]

一旦通过了身份验证，你就有权访问EM企业管理系统，且系统会跳转至登陆页面。

需考虑的已经解决的已知问题：
• 存在一个已知问题，即元数据未创建正确的“回复URL”。它使用的是http而不是https。但Syracuse组件的最新版本已经解决了这个问题。
• SAML2重定向也有一个已知问题。如果用户清除了浏览器缓存，则会弹出一个需要用户点击的错误消息。这个问题自Syracuse 11.10起得到了解决。

欢迎光临赛捷软件论坛 (http://sagesoft.cn/bbs/)