SSO 設定:ADFS (SAML 2.0)

Splashtop 現在支援從 SAML 2.0 身份驗證供應商建立的認證登入您的 Gateway 和 Splashtop On-Prem 應用程式。請按照以下說明使用 AD FS 建立信賴憑證者信任。

使用同盟中繼資料透過 AD FS 建立信賴憑證者信任

如要遵循 Microsoft 文件建立信賴憑證者信任,請參閱這篇支援文章:
https://docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust

1. 在伺服器管理器中按一下「工具」,然後選取「AD FS 管理」。

2. 在「動作」中按一下「新增信賴憑證者信任」。

AD FS 對話方塊的另一張螢幕截圖顯示了動作窗格中的「新增信賴憑證者信任」選項。

3. 在歡迎頁面上選擇「宣告感知」,然後按一下「開始」。

新增信賴憑證者信任精靈的歡迎頁面另一張螢幕截圖顯示了已選取的「宣告感知」選項。

4. 在選取資料來源頁面上,按一下「從檔案匯入有關信賴憑證者的資料」,選擇同盟中繼資料檔案,然後按一下「下一步」。

  • 同盟中繼資料檔案:從 Gateway 中的「新增 SSO 方法」下載服務供應商中繼資料

5. 在指定顯示名稱頁面上顯示名稱中輸入名稱,並在註釋下輸入此信賴憑證者信任的描述,然後按一下「下一步」。

6. 在選擇存取控制原則選取一個原則,然後按一下「下一步」。

7. 在新增信任的準備頁面上檢視設定,然後按一下「下一步」,儲存信賴憑證者信任資訊。

8. 在完成頁面上,按一下「關閉」。此動作會自動顯示「編輯宣告規則」對話方塊。

新增宣告

1. 選取您剛剛建立的信賴憑證者信任,並按一下「編輯宣告發行原則」。

2. 按一下「新增規則」,選取「以宣告方式傳送 LDAP 屬性」,然後下一步。

adfs3_zh-tw.png

3. 選取 Active Directory 為屬性存放區,然後新增 E-Mail-AddressUser-Principal-Name
E-Mail-Address:電子郵件地址
User-Principal-Name:名稱 ID

adfs4_zh-tw.png

新增其他宣告

1. 使用宣告規則範本新增另一項規則:轉換傳入宣告
adfs5_zh-tw.png

2. 設定名稱 ID。
傳入宣告類型:電子郵件地址
傳出宣告類型:名稱 ID
傳出名稱 ID 格式:電子郵件

adfs6_zh-tw.png

從 Gateway 申請 SSO 方法

1. 前往 Gateway / 管理 / 團隊設定 / 驗證 / 單一登入分頁,按一下「新增 SSO 方法」。在IDP 類型中請選取「ADFS」。

2. 請插入您專屬的登入 URL 和發行者資訊到 Gateway。
範例:

3. 請按照以下說明將 X.509 資訊插入到 Gateway。

在右側動作選單中按一下「服務」->「憑證」->「檢視憑證」。(您應該已使用憑證完成安裝 IIS。)
按一下憑證視窗中的「詳細資料」,然後按一下「複製到檔案」,並選擇「Base-64 編碼的 X.509」。

adfs9_zh-tw.png

用右鍵按一下匯出的憑證,然後複製資訊並貼至 Gateway 相應欄位。
adfs10_zh-tw.png

adfs11_zh-tw.png

4. 除了手動輸入 IDP 資訊外,您也可以透過 XML 匯入 ADFS 同盟中繼資料。

 
0 人中有 0 人覺得有幫助