Konfigurowanie SAML SSO dla ManageEngine PAM360

Poniższe kroki pomogą Ci włączyć logowanie jednolitym zestawem (SSO) do PAM360 z ADSelfService Plus.

Wymagania wstępne

1. Upewnij się, że serwer ADSelfService Plus jest dostępny przez połączenie HTTPS (Adres URL dostępu musi być skonfigurowany jako HTTPS).
2. Zaloguj się do ADSelfService Plus jako administrator.
3. Przejdź do Konfiguracja > Samoobsługa > Synchronizacja haseł / Jednolity dostęp > Dodaj aplikację i wybierz PAM360 z wyświetlonych aplikacji.

Uwaga: Możesz również znaleźć PAM360 w pasku wyszukiwania znajdującym się w lewym panelu lub w opcji nawigacji alfabetycznej w prawym panelu.

4. Na stronie konfiguracji PAM360 kliknij Szczegóły IdP w prawym górnym rogu ekranu. Pojawi się okno pop-up.
5. Możesz skonfigurować szczegóły dostawcy tożsamości w PAM360, przesyłając plik metadanych lub wprowadzając szczegóły ręcznie.
• Przesyłanie pliku metadanych: Pobierz plik metadanych, który ma być przesłany podczas konfiguracji PAM360, klikając link Pobierz metadane IdP.
• Dla konfiguracji ręcznej: Skopiuj Identyfikator encji, URL logowania oraz URL wylogowania, które będą używane podczas konfiguracji PAM360. Pobierz certyfikat SSO, klikając link Pobierz certyfikat X.509.

Kroki konfiguracji PAM360 (dostawca usług)

1. Zaloguj się do PAM360 z uprawnieniami administratora.
2. Przejdź do Admin > SAML Jednolity dostęp.

3. Skopiuj wartości Identyfikatora encji i URL konsumera zasady z sekcji Szczegóły dostawcy usług; będą one używane później.

4. W sekcji Skonfiguruj szczegóły dostawcy tożsamości możesz wybrać opcję Prześlij plik metadanych IdP lub opcję Skonfiguruj informacje o IdP ręcznie.
• Jeśli wybierzesz opcję Prześlij plik metadanych IdP, prześlij plik metadanych pobrany w kroku 5a wymagań wstępnych i kliknij Prześlij.

• Jeśli wybierzesz opcję Skonfiguruj informacje o IdP ręcznie, wklej wartość Identyfikatora encji skopiowaną w kroku 5b wymagań wstępnych w polu Wydawca.
• W polu URL logowania IdP wprowadź wartość URL logowania skopiowaną w kroku 5b wymagań wstępnych.
• Wybierz opcję HTTP-Redirect binding w polu Wiązanie protokołu.
• W polu URL wylogowania IdP wprowadź wartość URL wylogowania skopiowaną w kroku 5b wymagań wstępnych.

Uwaga: URL wylogowania jest opcjonalny i może zostać pominięty, jeśli nie jest wymagane jednolite wylogowanie (automatyczne wylogowanie z ADSelfService Plus podczas wylogowywania z PAM360).

• Kliknij Zapisz.

• W sekcji Importuj certyfikat IdP wybierz opcję Prześlij teraz plik certyfikatu IdP.
• W polu Importuj certyfikat prześlij certyfikat X.509 pobrany w kroku 5b wymagań wstępnych i kliknij Zapisz.

5. W sekcji Włącz/wyłącz SAML Single Sign On kliknij przycisk Włącz teraz.

Kroki konfiguracyjne ADSelfService Plus (dostawca tożsamości)

1. Przejdź do strony konfiguracyjnej PAM360 w ADSelfService Plus.
2. Wprowadź Nazwę aplikacji i Opis.
3. Wprowadź Nazwę domeny swojego konta PAM360. Na przykład, jeśli logujesz się do PAM360 używając johndoe@pam360.com, to pam360.com jest nazwą domeny.
4. W polu Przypisz polityki wybierz polityki, dla których należy włączyć SSO.

Uwaga: ADSelfService Plus pozwala na tworzenie polityk opartych na OU i grupach dla Twoich domen AD. Aby utworzyć politykę, przejdź do Konfiguracja > Usługa samodzielna > Konfiguracja polityki > Dodaj nową politykę.

5. Wybierz kartę SAML i zaznacz Włącz Single Sign-On.
6. W polu URL konsumenta asercji wprowadź URL konsumenta asercji skopiowany w kroku 3 konfiguracji PAM360.
7. W polu ID podmiotu wprowadź wartość ID podmiotu skopiowaną w kroku 3 konfiguracji PAM360.
8. W polu Format ID użytkownika wybierz format dla wartości atrybutu logowania użytkownika specyficznego dla aplikacji.

Uwaga: Użyj Nieokreślony jako opcję domyślną, jeśli nie jesteś pewien formatu wartości atrybutu logowania używanego przez aplikację.

9. Kliknij Dodaj aplikację.

Twoi użytkownicy powinni teraz być w stanie zalogować się do PAM360 przez portal ADSelfService Plus.

Uwaga: Dla PAM360 obsługiwane są zarówno przepływy inicjowane przez SP, jak i przez IdP.