在ADFS上安装元数据文件
简介
本文档介绍如何在Microsoft Active Directory联合身份验证服务(ADFS)上安装元数据文件。
先决条件
要求
Cisco 建议您了解以下主题:
- ADFS
- 安全断言标记语言(SAML)与安全管理设备集成
使用的组件
本文档中的信息基于以下软件和硬件版本:
- SMA 11.x.x
- SMA 12.x.x
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
在ADFS中安装元数据文件之前,请确保满足以下要求:
- 在SMA中启用SAML
- 验证思科内容安全管理设备是否支持贵组织使用的身份提供程序。以下是受支持的身份提供程序:
-
Microsoft Active Directory联合身份验证服务(ADFS)2.0
-
Ping身份PingFederate 7.2
-
思科网络安全设备9.1
-
-
获取保护设备与身份提供程序之间的通信所需的以下证书:
-
如果希望设备签署SAML身份验证请求,或者希望身份提供程序加密SAML断言,请从受信任证书颁发机构(CA)和关联的私钥获取自签名证书或证书。
-
如果希望身份提供程序对SAML断言进行签名,请获取身份提供程序的证书。设备使用此证书验证签名的SAML断言
-
配置
步骤1.导航到SMA,然后选择System Administration > SAML > Download Metadata,如图所示。
步骤2.当客户上传其ADFS元数据文件时,身份提供程序配置文件会自动填写。Microsoft有默认URL:https://<ADFS-host>/FederationMetadata/2007-06/FederationMetadata.xml。
步骤3.在设置两个配置文件后,必须编辑SP配置文件元数据,如Bug CSCvh30183所示。元数据文件如图所示。
步骤4.删除突出显示的信息,元数据文件的结尾必须如图所示。
步骤5.导航至ADFS,然后在ADFS Tools > AD FS Management > Add Reling Party Trust中导入编辑的元数据文件,如图所示。
步骤6.成功导入元数据文件后,为新创建的信赖方信任配置声明规则,选择声明规则模板>发送LDAP属性,如图所示。
步骤7.命名领款申请规则名称,然后选择Attribute Store > Active Directory。
步骤8.映射LDAP属性,如图所示。
- LDAP属性>邮件地址
- 外发领款申请类型>邮件地址
步骤9.使用此信息创建新的自定义声明规则,如图所示。
这是需要添加到自定义声明规则的自定义规则:
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier "] = "https://<smahostname>:83");
- 使用SMA主机名和端口修改突出显示的URL(如果您在CES环境中,则不需要端口,但它必须指向euq1。<allocation>.iphmx.com)
步骤10.确保领款申请规则顺序为:如图所示,LDAP声明规则优先,自定义声明规则次之。
步骤11.登录EUQ,它必须重定向到ADFS主机。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。
反馈