一般SAML2 IDP集成设置¶
设置SAML2身份提供商(IDP)的管理工作流程包括以下步骤:
在所需的实体级别(客户,组织或帐户)启用SAML2提供商。
在框架中创建SAML2身份提供商。
在框架中为您的新SAML2身份提供商输入必要的配置信息。
在您的实际SAML2身份提供商中输入配置信息。
通过尝试使用您的身份提供商登录,可以验证IDP集成的两侧是否正确配置。
在客户,组织或帐户实体级别上添加SAML2权限(授权规则),以授权用户担任特定角色。
根据特定的SAML2身份提供商,您可能需要在步骤3之前执行步骤4。
框架支持IDP发射和SP发射的身份验证工作流程。通常,大多数客户通过将用户引导到框架URL并让用户将用户重定向到SAML2身份提供商来实现SP发射的身份验证工作流。
启用SAML2提供商¶
在添加SAML2身份提供商之前,管理员必须通过导航到管理页面并单击所需的Entity名称旁边列出的省略号来启用给定级别的SAML2提供商。从出现的菜单中选择“用户”。
笔记
除非有特定的理由去做,否则在客户级别上添加SAML2提供商是最佳实践。
在“身份验证”选项卡下启用“ SAML2”切换。
保存设置后,将出现“ SAML2提供程序”选项卡,管理员可以在其中添加新的SAML2提供商。
配置SAML2提供商¶
单击“添加提供商”。将出现“添加SAML2身份提供商”对话框。
应用ID:有时将该字段称为服务提供商(SP)“实体ID”或“受众URI”。从技术上讲,它可以是任何文本,但通常是以URL的形式
https://frame.nutanix.com
。为了获得成功的身份验证,重要的是,在此字段中输入的值至少匹配“受众限制”列表中的一个值之一,即Identity Provider(IDP)创建的SAML2断言的一部分。Auth Provider Metadata:检查“ URL”选项,并从您的SAML2 IDP粘贴身份提供商元数据URL。
集成名称:在此处输入您唯一的SAML2集成名称。该名称应只有字母,数字和破折号符号;不允许空间或标点符号。也是区分大小写。示例模式可能是:
公司-IDP
。在保存SAML2身份提供商定义后,无法更改此值。自定义标签:指定时,此值将在登录页面中使用为
符号在和<定制标签>
。身份验证令牌到期:为身份验证令牌设置所需的到期时间。这可以从5分钟到7天不等。如果用户不适合配置的时间,则Nutanix控制台将注销用户。如果用户在控制台中处于活动状态(例如,单击超链接,移动鼠标/光标,滚动或按键键),则令牌将在用户令牌到期之前续订。如果用户在框架会话中,则令牌会自动续订,以便在会话中不会断开用户。
签名的回应:根据您的SAML2身份提供商禁用或启用。
签名断言:根据您的SAML2身份提供商禁用或启用。
笔记
通常将SAML2身份提供商配置为签署SAML2身份验证响应消息或嵌入在身份验证响应消息中的SAML2断言(而不是两者都)。SAML2 IDP签名的内容的选择必须是帧SAML2 IDP配置中的选择。否则,当帧处理SAML2 IDP的SAML2身份验证响应时,帧将返回身份提供商错误配置错误。
准备创建SAML2提供商定义时单击添加。
配置您的SAML2 IDP¶
每个符合SAML2的身份提供商将有自己的配置要求。但是,SAML2身份提供商使用了一些常见的配置参数:
框架元数据URL:此URL处于形式:
https://img.frame.nutanix.com/saml2/metadata/ [saml2_integration_name ]/
。单登录URL或者断言消费服务(ACS)URL:此URL处于形式:
https://img.frame.nutanix.com/saml2/done/ [saml2_integration_name ]/
。SAML2 IDP将向此URL发送SAML2身份验证响应。笔记
帧不支持SAML2单点注销请求。
SAML2用户属性名称¶
为了使框架在仪表板和启动板中正确显示用户的名字,姓氏和电子邮件地址,您的SAML2身份提供商配置必须使用SAML2属性名称提供这些值,如下表所述:
用户属性 |
SAML2属性名称 |
SAML2名称 |
---|---|---|
名 |
利用 |
|
姓 |
利用 |
|
电子邮件地址 |
利用 |
|
名称ID |
|
|
可选的SAML2属性¶
帧还支持IDP可以在SAML2身份验证中包含的两个可选SAML2属性:
frame_logout_url:当用户从启动板中注销时,用户将转到此URL,或者由于不活动而决定在登录后离开框架时。
frame_login_url:当用户由于不活动而被登录后要重新登录框架时,用户被引导到该URL。
客户还可以配置其SAML2 IDP,以发送配置SAML2权限时可以使用的其他SAML2属性。最常见的是与用户是成员的组成员列表相关联的SAML2属性。这允许管理员基于组(而非单个用户电子邮件地址)到达SAML2权限,然后将用户与IDP中的这些组(或Active Directory,如果其SAML2 IDP连接到其Active Directory)中的这些组。
当这些其他SAML2属性从IDP传递到框架时,请确保将属性名称用作SAML2权限授权规则中的条件。
验证您的SAML2 IDP集成¶
现在,用户应该可以使用以下URL格式进入为SAML2配置的启动板,以将其带到Nutanix登录页面:
https://console.nutanix.com/ [customer_url_name ]/ [organization_url_name ]/ [account_url_name ]/ [launchpad_url_name]
如果要将用户引导到特定的身份提供商(并绕过Nutanix登录页面),请添加?idp = <集成名称>
到你的网址。例如,如果指定公司-Aad
作为SAML2提供商的集成名称,您可以提供用户的URL是:
https://console.nutanix.com/ [customer_url_name]?idp = company-aad
或针对特定的发射台:
https://console.nutanix.com/ [customer_url_name ]/ [organization_url_name ]/ [account_url_name ]/ [launchpad_url_name]?idp = company-aad
配置SAML2权限¶
一旦成功地在帧上配置了IDP后,管理员将需要从SAML2提供商选项卡右侧的“ SAML2权限”选项卡中配置帐户的授权规则。要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。