[V11功能解说] 如何使用Microsoft Azure设置SAML2身份验证？

lynn.yu

SAML2是一种使用独立的外部身份认证的方法，可以在EM企业管理内使用。 对于SAML2以及OAuth2，只有成功通过专用外部服务器的身份验证时，应用程序才会授予访问权限。

这是通过Microsoft Azure使用SAML2的示例。我们无法提供通过每个身份提供商使用的示例，你可能需要从自己的配置中推断出信息才能正确使用身份验证。

请务必查看SAML2在线帮助主题，并与你的Sage认证业务合作伙伴密切合作，了解与你的环境相关的配置。

请注意：若要为应用程序配置单点登录，你必须使用Azure Active Directory Premium版本。

1.        你必须先向Azure门户添加非图库应用：

摘自关联的Microsoft文档：若想使用应用集成模板来连接应用程序，就需使用Azure Active Directory管理员账户登录Azure门户。浏览至：Active Directory（活动目录） > Enterprise Applications（企业应用） > New application（新应用） > Non-gallery application（非图库应用）版块，选择Add（添加），接着选Add an application from the gallery（从图库中添加应用）。



2.        选择“配置单点登录（必填）”



3.        将“基于SAML的登录”选为“单点登录模式”


请注意：门户网站中有一些有用的帮助主题可以帮助你了解如何继续操作。

我们先来看一下Sage EM企业管理的配置：

4.        你需要更改nodelocal.js，以允许SAML2身份验证。

请注意：你必须在完成更改后重启Syracuse服务。



5.        在Sage X3中，打开功能：管理→管理→参数设置→身份验证→SAML2 ID供应商。

6.        点击“+创建saml2”


7.        配置界面类似于以下内容：

请注意：我没有显示如何使用一个证书，但其实可以这样做。



8.        此处，我们可以通过下载要上传到Microsoft Azure门户的元数据来走一下捷径。

a. 如果右侧“明细”按钮可用的话，请点击这个按钮
b. 点击“获取元数据”按钮
  

结果：这样做就会下载一个名为metadata的文件。

现在，我们返回Microsoft Azure门户。

9.        点击链接“上传元数据文件”。请注意：这是版块2中的，且有域名和URLs。

10.        上传元数据配置文件。请注意：你需要点击下拉菜单选项为“来自* .xml的所有文件”。


11.        单点登录配置的剩余部分界面看起来会类似于下面这样：


12.        SAML2的配置完成，但是；你还需要确保：
•        在Sage EM企业管理（管理→管理→用户→用户）中，你的用户已经设置为通过SAML2验证身份，并且有配置好的供应商。
•        在Microsoft Azure中，应用程序也需要给用户和群组分配合适的角色。

13.        自Sage EM企业管理登录屏幕点击外部应用链接时，你将会被重定向到通过Microsoft进行身份验证。



一旦通过了身份验证，你就有权访问EM企业管理系统，且系统会跳转至登陆页面。

需考虑的已经解决的已知问题：
•        存在一个已知问题，即元数据未创建正确的“回复URL”。它使用的是http而不是https。但Syracuse组件的最新版本已经解决了这个问题。
•        SAML2重定向也有一个已知问题。如果用户清除了浏览器缓存，则会弹出一个需要用户点击的错误消息。这个问题自Syracuse 11.10起得到了解决。