一般SAML2 IDP集成设置

设置SAML2身份提供商(IDP)的管理工作流程包括以下步骤:

  1. 在所需的实体级别(客户,组织或帐户)启用SAML2提供商。

  2. 在框架中创建SAML2身份提供商。

  3. 在框架中为您的新SAML2身份提供商输入必要的配置信息。

  4. 在您的实际SAML2身份提供商中输入配置信息。

  5. 通过尝试使用您的身份提供商登录,可以验证IDP集成的两侧是否正确配置。

  6. 在客户,组织或帐户实体级别上添加SAML2权限(授权规则),以授权用户担任特定角色。

根据特定的SAML2身份提供商,您可能需要在步骤3之前执行步骤4。

框架支持IDP发射和SP发射的身份验证工作流程。通常,大多数客户通过将用户引导到框架URL并让用户将用户重定向到SAML2身份提供商来实现SP发射的身份验证工作流。

启用S​​AML2提供商

  1. 在添加SAML2身份提供商之前,管理员必须通过导航到管理页面并单击所需的Entity名称旁边列出的省略号来启用给定级别的SAML2提供商。从出现的菜单中选择“用户”。

../../../_images/authnav1.png

笔记

除非有特定的理由去做,否则在客户级别上添加SAML2提供商是最佳实践。

  1. 在“身份验证”选项卡下启用“ SAML2”切换。

../../../_images/authnav2.png
  1. 保存设置后,将出现“ SAML2提供程序”选项卡,管理员可以在其中添加新的SAML2提供商。

../../../_images/image99.png

配置SAML2提供商

  1. 单击“添加提供商”。将出现“添加SAML2身份提供商”对话框。

../../../_images/blankprovider.png
  • 应用ID:有时将该字段称为服务提供商(SP)“实体ID”或“受众URI”。从技术上讲,它可以是任何文本,但通常是以URL的形式https://frame.nutanix.com。为了获得成功的身份验证,重要的是,在此字段中输入的值至少匹配“受众限制”列表中的一个值之一,即Identity Provider(IDP)创建的SAML2断言的一部分。

  • Auth Provider Metadata:检查“ URL”选项,并从您的SAML2 IDP粘贴身份提供商元数据URL。

  • 集成名称:在此处输入您唯一的SAML2集成名称。该名称应只有字母,数字和破折号符号;不允许空间或标点符号。也是区分大小写。示例模式可能是:公司-IDP。在保存SAML2身份提供商定义后,无法更改此值。

  • 自定义标签:指定时,此值将在登录页面中使用为符号<定制标签>

  • 身份验证令牌到期:为身份验证令牌设置所需的到期时间。这可以从5分钟到7天不等。如果用户不适合配置的时间,则Nutanix控制台将注销用户。如果用户在控制台中处于活动状态(例如,单击超链接,移动鼠标/光标,滚动或按键键),则令牌将在用户令牌到期之前续订。如果用户在框架会话中,则令牌会自动续订,以便在会话中不会断开用户。

  • 签名的回应:根据您的SAML2身份提供商禁用或启用。

  • 签名断言:根据您的SAML2身份提供商禁用或启用。

笔记

通常将SAML2身份提供商配置为签署SAML2身份验证响应消息或嵌入在身份验证响应消息中的SAML2断言(而不是两者都)。SAML2 IDP签名的内容的选择必须是帧SAML2 IDP配置中的选择。否则,当帧处理SAML2 IDP的SAML2身份验证响应时,帧将返回身份提供商错误配置错误。

  1. 准备创建SAML2提供商定义时单击添加。

配置您的SAML2 IDP

每个符合SAML2的身份提供商将有自己的配置要求。但是,SAML2身份提供商使用了一些常见的配置参数:

  • 框架元数据URL:此URL处于形式:https://img.frame.nutanix.com/saml2/metadata/ [saml2_integration_name ]/

  • 单登录URL或者断言消费服务(ACS)URL:此URL处于形式:https://img.frame.nutanix.com/saml2/done/ [saml2_integration_name ]/。SAML2 IDP将向此URL发送SAML2身份验证响应。

笔记

帧不支持SAML2单点注销请求。

SAML2用户属性名称

为了使框架在仪表板和启动板中正确显示用户的名字,姓氏和电子邮件地址,您的SAML2身份提供商配置必须使用SAML2属性名称提供这些值,如下表所述:

SAML2用户属性名称映射

用户属性

SAML2属性名称

SAML2名称

利用给定的名称,,,,/urn:mace:dir:attribute-def:fivenname/, 或者http://schemas.xmlsoap.org/ws/2005/05/istentity/claims/givenname

urn:绿洲:名称:TC:SAML:2.0:attrname-format:基本

利用sn,,,,/urn:mace:dir:attribute-def:sn/, 或者http://schemas.xmlsoap.org/ws/2005/05/istentity/claims/surname

urn:绿洲:名称:TC:SAML:2.0:attrname-format:基本

电子邮件地址

利用邮件,,,,/urn:mace:dir:attribute-def:邮件/,,,,http://schemas.xmlsoap.org/ws/2005/05/istentity/claims/emailaddress, 或者http://schemas.xmlsoap.org/ws/2005/05/istentity/claims/name

urn:绿洲:名称:TC:SAML:2.0:attrname-format:基本

名称ID

nameid

urn:绿洲:名称:TC:SAML:2.0:nameid-format:持久

可选的SAML2属性

帧还支持IDP可以在SAML2身份验证中包含的两个可选SAML2属性:

  • frame_logout_url:当用户从启动板中注销时,用户将转到此URL,或者由于不活动而决定在登录后离开框架时。

  • frame_login_url:当用户由于不活动而被登录后要重新登录框架时,用户被引导到该URL。

客户还可以配置其SAML2 IDP,以发送配置SAML2权限时可以使用的其他SAML2属性。最常见的是与用户是成员的组成员列表相关联的SAML2属性。这允许管理员基于组(而非单个用户电子邮件地址)到达SAML2权限,然后将用户与IDP中的这些组(或Active Directory,如果其SAML2 IDP连接到其Active Directory)中的这些组。

当这些其他SAML2属性从IDP传递到框架时,请确保将属性名称用作SAML2权限授权规则中的条件。

验证您的SAML2 IDP集成

现在,用户应该可以使用以下URL格式进入为SAML2配置的启动板,以将其带到Nutanix登录页面:

https://console.nutanix.com/ [customer_url_name ]/ [organization_url_name ]/ [account_url_name ]/ [launchpad_url_name]

如果要将用户引导到特定的身份提供商(并绕过Nutanix登录页面),请添加?idp = <集成名称>到你的网址。例如,如果指定公司-Aad作为SAML2提供商的集成名称,您可以提供用户的URL是:

https://console.nutanix.com/ [customer_url_name]?idp = company-aad

或针对特定的发射台:

https://console.nutanix.com/ [customer_url_name ]/ [organization_url_name ]/ [account_url_name ]/ [launchpad_url_name]?idp = company-aad

配置SAML2权限

一旦成功地在帧上配置了IDP后,管理员将需要从SAML2提供商选项卡右侧的“ SAML2权限”选项卡中配置帐户的授权规则。要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。