SAML 集成
通过以下 3 个步骤即可完成 SAML 集成:
步骤 1:配置身份提供程序
步骤 2:配置 Deep Freeze Cloud 冰点云站点中的 SAML 设置
步骤 3:通过身份提供程序(IdP 启动的登录)分配 Deep Freeze Cloud 冰点云站点的访问权限
支持的身份提供程序包括:
• OneLogin
• Azure
• Okta
OneLogin
步骤 1:配置 OneLogin
登录 OneLogin 后,在"应用程序"下设置 Deep Freeze 冰点。
1. 在搜索字段中输入" SAML Test Connector"。
2. 选择 "SAML Test Connector (IdP w/ attr w/ sign response)"。
3. 指定"显示名称",然后单击"保存"。
4. 单击左侧窗格中的" SSO"。
5. 单击右上角的"更多操作" > "SAML 元数据"以下载 IdP 元数据。
7. 完成 Deep Freeze 冰点的配置并生成服务提供商配置后,单击左侧窗格上的"配置"。
8. 使用 Deep Freeze Cloud 冰点云"受众 URI 填充受众"字段。
9. 使用 Deep Freeze Cloud 冰点云"断言使用者 URL 填充收件人,ACS(使用者)URL 验证器"和 "ACS(使用者)URL" 字段,然后单击"保存"。
10. 单击左侧窗格中的"SSO"。
11. 在 SAML 签名算法下选择SHA-256 或SHA-512。
 | 目前仅支持 SHA-256 和 SHA-512 SAML 签名算法。 |
12. 单击"保存"。
OneLogin 设置现已完成。
步骤 2: Deep Freeze Cloud 冰点云中的 SAML 设置
完成以下步骤,为 SAML 集成配置 Deep Freeze Cloud 冰点云 SAML 设置:
1. 转到"用户管理"。
2. 单击 "SAML 集成"。
3. 为"身份提供程序","其他设置"和"服务提供商"配置参数。
> 服务提供商配置
单击刷新按钮以更新"服务提供商配置"选项卡,然后显示分配的"登录域","受众 URI "和"断言使用者 URL"。
> 身份提供程序设置
上传 IdP 元数据或执行手动设置。
上传 IdP 元数据
i. 要上传 IdP 元数据,请单击浏览,然后选择您已下载的 IdP 元数据 (.xml) 文件。所有其他字段将被自动填充。
ii. 单击"下一步"。
手动设置
要手动设置"身份提供程序":
i. 输入 IdP 登录 URL 和实体 ID 的信息。
ii. 单击"浏览",然后选择 IdP 证书文件。
iii. 单击"下一步"。
> 设置
i. 选择适用于"实时预配"用户的权限。
* 允许访问所有站点 – 选择此选项可允许新用户访问所有站点。默认情况下,新用户没有权限访问任何站点。
属性映射
"属性映射"选项卡包含从 IdP 元数据映射的信息。您既可以选择按原样使用生成的信息,也可通过单击编辑图标来编辑字段。
在编辑电子邮件,名字和姓氏字段时,请使用 user.email,user.firstName,user.lastName 的格式填写详细信息。
您可以通过选择"使用自定义属性而非可唯一识别用户的 NameID" 复选框,然后编辑"自定义属性字"段的信息来分配特定标识符。
完成编辑后单击"下一步"。
 | 您需要受"众 URI 和断言使用者 URL" 才能完成身份提供程序门户中的设置。 |
要编辑 SAML 设置,请单击右上角的"编辑"。
要重置 SAML 设置,请单击右上角的"重置"。请注意,重置 SAML 设置将取消 IdP 的链接并删除所有 SAML 设置。
步骤 3: OneLogin(IdP 启动的登录)分配 Deep Freeze Cloud 冰点云的访问权限
OneLogin 用户必须获得 Deep Freeze 冰点的访问权限,才能通过 OneLogin 访问 Deep Freeze 冰点。
要向用户分配访问权限:
1. 转到"用户",并选择一名用户。
2. 在"用户"页面上,单击位于左侧窗格的"应用程序"。
3. 单击"应用程序"选项卡右上角的 + 图标。
4. 从下拉列表中选择应用程序,然后单击"继续"。
5. 编辑所选用户的应用程序登录详情,然后单击"保存"。
用户现在可通过 OneLogin 访问 Deep Freeze 冰点。
要执行 IdP 启动的访问,请登录您的 OneLogin 公司门户。单击 Deep Freeze 冰点应用程序。您将被重定向到 Deep Freeze Cloud 冰点云。
添加 SAML 用户
SAML 用户可在 OneLogin 中创建或分配。参阅步骤 3: OneLogin(IdP 启动的登录)分配 Deep Freeze Cloud 冰点云的访问权限。
SAML 用户能够执行以下操作:
• 编辑
• 禁用
• 删除
• 标签
Azure
步骤 1:配置 Azure
登录 Azure 门户之后,单击"Azure Active Directory 活动目录"。
1. 单击左侧窗格中的"企业版应用程序",然后单击"新应用程序"。
2. 单击"创建您自己的应用程序"。
3. 指定应用程序的名称,并选择"集成库中无法找到的任何其他应用程序"。
4. 单击"创建"。
5. 在"入门指南"下的"应用程序概述"页面,单击"设置单一登录"。
6. 单击"SAML"。
7. 编辑"基础 SAML 配置":
有关填写基础 SAML 配置的信息,请参阅 步骤 2: Deep Freeze Cloud 冰点云中的 SAML 设置。
> 使用 Deep Freeze Cloud 冰点云站点"受众 URI"填充"标识符(实体 ID)"。
> 使用 Deep Freeze Cloud 冰点云站点"断言使用者 URL"填充"回复 URL(断言使用者服务 URL)"。
> 使用 Deep Freeze Cloud 冰点云站点"断言 SAML 登录 URL"填充"登录 URL"。
8. 单击"保存"。
9. 将"用户属性和声明"页面下的"声明"替换为以下信息:
> user.lastname – user.surname
> user.firstname – user.givenname
> user.email – user.localuserprincipalname
> name – user.userprincipalname
> Unique User Identifier – user.userprincipalname
10. 单击"SAML 签名证书"页面下的"添加证书"。
 | 如果您正在重置 SAML,您将需要为新的 SAML 创建一个新证书。需要删除旧证书。 |
11. 单击"新证书"。
12. 选择您首选的"签名选项"和"签名算法"。
13. 指定"通知电子邮件地址"并单击"保存"。
14. 单击"指纹"字段以显示证书选项,并选择"激活证书"。
15. 关闭"SAML 签名证书"屏幕以返回基于 SAML 的登录屏幕。
16. 单击"下载"以下载"联邦元数据 XML"。
步骤 3:通过 Azure(IdP 启动的登录)分配 Deep Freeze Cloud 冰点云站点 的访问权限
1. 单击左侧窗格中的"用户和群组"。
2. 单击"添加用户"。
3. 点击"添加分配"页面中"用户"以显示全部用户列表。从列表中选择所需的用户,并单击"选择"。
4. 单击"分配"。
Google Workplace
步骤 1:配置 Google Workplace
登录 Google 管理员之后,导航至"应用程序"。
1. 单击"添加应用程序">"添加自定义 SAML 应用程序"。
2. 分配"应用程序名称"并单击"继续"。
3. 单击"下载元数据"以下载 IdP 元数据。
5. 在 Google 管理员控制台中编辑"服务提供商详细信息":
> 使用 Deep Freeze Cloud 冰点云站"断言使用者 URL"填充"ACS URL"。
> 使用 Deep Freeze Cloud 冰点云站"受众 URI"填充"实体 ID"。
6. 单击"继续"。
7. 单击"添加映射"。请参照以下格式填充 3 条必需的应用程序属性:
> Primary email – user.email
> First name – user.firstName
> Last name – user.lastName
8. 单击"完成"。
步骤 3:通过 Google G Suite(IdP 启动的登录)分配Deep Freeze Cloud 冰点云站的访问权限
1. 从 Google 管理员控制台主页前往"应用程序">"网页和移动应用程序"。
2. 选择您的 SAML 应用程序。
3. 单击"用户访问"。
4. 在左侧窗格中,从左侧选择"组织单位"并选择"为所有人开启"。
5. 单击"保存"。
使用 SAML(SP 启动的登录)登录 Deep Freeze Cloud 冰点云
1. 单击 Deep Freeze Cloud 冰点云登录页面上的"更多登录选项",然后选择"使用 SAML 登录"。
2. 在"域标识符"字段中输入您的登录域名称。
3. 单击"登录"。