SSO 强制实施模式是最大限度地提高 Address Manager 和 Address Manager API 安全性的最佳模式,但此模式对认证和访问实施了必要的限制。BlueCat 建议仅在针对此类严格的安全性适当地更新了 Address Manager 环境后再启用 SSO 强制实施模式。
注意:
启用 SSO 强制实施模式
除非符合以下条件,否则您无法启用 SSO 强制实施模式:
- 您是管理员
- 您已在 Address Manager 中配置 IdP 元数据
- 您已删除外部验证器
- Address Manager 中只存在 SSO 组
- Address Manager 中不存在本地非管理员用户
注意: SSO 强制实施模式
启用 SSO 强制实施模式后,将出现以下情况:
- 用户无法使用外部认证器(LDAP、TACACS 和 Radius)登录到 Address Manager。
- BAM 仅允许一个本地用户(仅 GUI,SSO 管理员)以在故障切换时使用
- IdP 将启动登录会话 — BAM 登录页面将重定向到 IdP 登录页面
- API 登录需要有效的 OAuth 令牌
- 只有 SSO 用户才能成为 BAM 管理员
- 只有启用了 SSO 强制实施模式的 SSO 管理员才能禁用此模式。
- SSO 非管理员用户在 Address Manager 中看不到以下页面:
- 验证器
- 用户管理
- API 访问管理
- SSO 非管理员用户无法创建、读取、更新或删除任何本地用户
- SSO 非管理员用户无法创建、读取、更新或删除任何不是 SSO 组的用户组
注意:
如果您允许 API 访问 SSO 用户,请确保满足以下要求:
- 任何与 Address Manager 集成的应用程序均已针对 SSO 进行了配置
- BAM API 客户端或脚本正在使用 OAuth 2.0
- 在 Address Manager 中,选择管理选项卡。
- 在用户管理下,选择身份和访问管理。
- 选择 SSO 强制实施选项卡。
- 在 SSO 强制实施下,选择强制实施 SSO。
- 单击更新。