单一登录 - BlueCat Integrity - 9.5.0

管理指南

Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

Address Manager 支持通过 SAML 2.0 进行单一登录 (SSO),并可充当 SSO 的服务提供程序 (SP)。在 SSO 集成中,用户具有以下登录 Address Manager 的选项:

  • 直接登录 Address Manager(SP 启动的 SSO
  • 通过 IdP 登录(IdP 启动的 SSO
注: 支持的 IdP
已在 IdP 上测试 Address Manager 中的 SSO 功能:
  • ADFS (Active Directory Federated Services)
  • OneLogin

如果您的组织正在使用 Address Manager 不支持的 IdP,只要该 IdP 符合 SAML 2.0 规范,则仍可使用它。有关更多信息,请参阅有关如何配置服务提供程序的 IdP 文档。

注: 目前,Address Manager 仅支持单个 IdP。不支持多个 IdP。

只有通过 SAML 2.0 才支持使用 Okta 身份提供商的 SSO。目前不支持 Okta OAuth 2.0(使用 OpenID Connect)。

SP 启动的 SSO

在 SP 启动的 SSO 中,可以使用公司的 SSO 凭据直接登录 Address Manager。通过 Address Manager 登录时,Address Manager 将向 IdP 发送认证请求。IdP 将验证您的凭据,一旦验证成功,IdP 将生成 SAML 令牌。IdP 会将 SAML 令牌重定向至 Address Manager 并允许访问。

下图解释了 SP 启动的 SSO 的认证过程:

IdP 启动的 SSO

在 IdP 启动的 SSO 中,可以使用公司的 SSO 凭据通过 IdP 登录页面登录。通过 IdP 登录页面登录时,IdP 将验证您的凭据,一旦验证成功,IdP 将生成 SAML 令牌。IdP 现在会将您重定向至 Address Manager。

下图解释了 IdP 启动的 SSO 的认证过程:

SSO 模式

Address Manager 中的 SSO 有两种模式:
SSO 已启用 SSO 强制实施
  • 用户可以使用 LDAP、TACACS+、RADIUS、Microsoft Active Directory 和 Kerberos 等外部验证器登录 Address Manager。
  • Address Manager 允许本地用户(GUI 和 API)
  • Address Manager 登录页面有两个登录选项:
    • SSO 登录
    • 本地登录
  • 用户无法使用 LDAP、TACACS+、RADIUS、Microsoft Active Directory 和 Kerberos 等外部验证器登录 Address Manager。
  • BAM 仅允许一个本地用户(仅 GUI,SSO 管理员)以执行以下操作:
    • SSO 配置
    • IdP 配置
    • DDI 配置
    • 故障切换
  • IdP 将启动登录会话 — Address Manager 登录页面将重定向到 IdP 登录页面
  • API 登录需要有效的 OAuth 令牌
在配置 SSO 时,可以选择以下两种模式之一。SSO 已启用模式在您将 Address Manager 配置为服务提供程序和 IdP 元数据时激活。有关将 Address Manager 配置为服务提供程序和配置 IdP 元数据的更多信息,请参阅将 Address Manager 配置为服务提供程序配置 IdP 元数据和启用 SSO 连接。您可以在 Address Manager 中的 SSO 强制实施选项卡中激活 SSO 强制实施模式。有关更多信息,请参阅启用 SSO 强制实施模式
注意: Address Manager 和 IdP 之间的时间同步

进行 SSO 身份验证时,IdP 会生成访问令牌。Address Manager 和 IdP 之间的任何时钟差异都可能导致令牌到期时间不一致,从而导致身份验证错误。BlueCat 建议使用 NTP 来同步 Address Manager 和 IdP。