应用身份管理服务 ONEACCESS-通过SAML协议单点登录至应用:在OneAccess中配置元数据文件
下载应用身份管理服务 ONEACCESS用户手册完整版
在 OneAccess 中配置元数据文件
配置元数据文件,即在OneAccess中配置企业SP的Metadata文件。OneAccess支持“上传文件”和“手动编辑”两种配置,选择其中一种即可。如果后续元数据有更新,需要重新上传或者编辑元数据,否则会影响企业用户通过OneAccess登录企业应用。
- 单击在OneAccess中添加企业应用中添加的企业应用,在应用信息页面单击应用图标。
- 在通用信息模块,单击“认证集成”后的
打开认证集成设置,此处选择SAML协议,单击“保存”。
应用认证集成协议一旦设置不可修改。
- 在通用信息模块,单击“认证集成”后的“配置”,进入“参数配置”页签配置元数据文件,可以选择上传文件和手动配置两种方式。
配置参数会明文展示所输入的信息,请防止信息泄露。
- 上传文件
- 单击“上传文件”,选择获取的企业SP的元数据文件。
图2 上传元数据文件
- 当显示“上传成功”时,即系统已提取元数据。
- 如果提示“文件格式错误,仅支持上传xml格式文件”,需要您确认元数据文件的正确性后,重新上传或者通过手动编辑提取元数据。
- 企业应用的元数据获取方法请参考SP提供商的帮助文档。
- 单击“上传文件”,选择获取的企业SP的元数据文件。
- 手动配置
- 在“参数配置”页签,单击“手动配置”。
- 在手动编辑元数据页面,输入从企业SP元数据文件中获取的“SP Entity ID”、“A CS URL”和“签名证书”等参数,单击“保存”。
图3 配置认证参数
表2 认证参数 参数
是否必选
说明
SP Entity ID
是
SP唯一标识,对应SP元数据文件中的“Entity ID”的值。
断言消费地址(ACS URL)
是
SP回调地址(断言消费服务地址),对应SP元数据文件中“AssertionConsumerService”的值,即当OneAccess认证成功后响应返回的地址。
Name ID
是
用户在应用系统中的账号名对应字段,可以选择用户的属性或者对应的账号属性,此字段的值将作为断言中的subject。
NameID Format
是
SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。
Audience URI
否
允许使用SAML断言的资源,默认和SP Entity ID相同。
Single Logout URL
否
服务提供商提供会话注销功能,用户在OneAccess注销会话后返回该地址。
默认Relay State
否
使用在idp发起的认证中,作为默认的一个值。
支持ForceAuth
是
默认为否。如果SP要求重新认证,则强制用户再次认证。
Response签名
是
默认为否。是否对SAML Response使用IdP的证书签名。
断言签名
是
默认为是。断言需使用IdP的证书签名,对应SP元数据文件中“WantAssertionsSigned”值。
数字签名算法
是
默认为RSA_SHA256,是SAML Response或者断言签名的算法,可在下拉框选择。
数字摘要算法
是
默认为SHA256,是SAML Response或者断言的算法摘要算法,可在下拉框选择。
断言加密
是
默认为否。是否对断言进行加密。
验证请求签名
是
默认为是。用来对SAML Request签名进行验证,对应SP元数据文件中“AuthnRequestsSigned”值。
验证签名证书
是
SP公钥证书,用来验证SAML request的签名,对应SP元数据文件中use="signing"证书内容。
- 上传文件
- 授权IAM用户访问OneAccess实例管理门户_应用身份管理_OneAccess-华为云
- 应用身份管理服务用户登录二次认证配置_应用身份管理_OneAccess-华为云
- 应用身份管理服务企业API使用_应用身份管理_OneAccess-华为云
- 应用身份管理服务有哪些规格_应用身份管理_OneAccess-华为云
- 什么是应用身份管理服务_应用身份管理_OneAccess-华为云
- 应用身份管理服务有哪些能力_应用身份管理_OneAccess-华为云
- 应用身份管理服务有哪些应用场景_应用身份管理_OneAccess-华为云
- OneAccess是什么_OneAccess的特性_OneAccess的优势_OneAccess的应用场景
- 应用身份管理服务有哪些功能_应用身份管理_OneAccess-华为云
- 应用身份管理服务有哪些优势_应用身份管理_OneAccess-华为云
