在ADFS上安裝後設資料檔案
簡介
本文檔介紹如何在Microsoft Active Directory聯合身份驗證服務(ADFS)上安裝後設資料檔案。
必要條件
需求
思科建議您瞭解以下主題:
- ADFS
- 與安全管理裝置整合的安全斷言標籤語言(SAML)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- SMA 11.x.x
- SMA 12.x.x
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在ADFS中安裝後設資料檔案之前,請確保滿足以下要求:
- 在SMA中啟用SAML
- 驗證您的組織使用的身份提供程式是否受思科內容安全管理裝置支援。以下是受支援的身份提供程式:
-
Microsoft Active Directory聯合身份驗證服務(ADFS)2.0
-
Ping身份Ping聯盟版本7.2
-
思科網路安全裝置9.1
-
-
獲取保護您的裝置和身份提供商之間的通訊所需的證書:
-
如果您希望裝置對SAML身份驗證請求進行簽名,或者希望身份提供程式加密SAML宣告,請從受信任的證書頒發機構(CA)獲取自簽名證書或證書以及關聯的私鑰。
-
如果您希望身份提供程式對SAML斷言進行簽名,請獲取身份提供程式的證書。您的裝置使用此證書來驗證簽名的SAML斷言
-
設定
步驟1.導航到SMA,然後選擇系統管理> SAML >下載後設資料,如下圖所示。
步驟2.客戶上傳其ADFS後設資料檔案時,身份提供程式配置檔案會自動填寫。Microsoft有一個預設URL:https://<ADFS-host>/FederationMetadata/2007-06/FederationMetadata.xml。
步驟3.安裝兩個配置檔案後,必須根據錯誤CSCvh30183.編輯SP配置檔案後設資料。後設資料檔案如下圖所示。
步驟4.刪除突出顯示的內容,後設資料檔案的結尾必須如下圖所示。
步驟5.導航到ADFS,然後在ADFS Tools > AD FS Management > Add Relisting Party Trust中匯入編輯的後設資料檔案,如下圖所示。
步驟6.成功匯入後設資料檔案後,為新建立的信賴方信任配置宣告規則,選擇宣告規則模板>傳送LDAP屬性,如下圖所示。
步驟7.命名宣告規則名稱,然後選擇Attribute Store > Active Directory。
步驟8.對映LDAP屬性,如下圖所示。
- LDAP屬性>電子郵件地址
- 傳出宣告型別>電子郵件地址
步驟9.使用此資訊建立新的自定義宣告規則,如下圖所示。
這是需要新增到自定義宣告規則的自定義規則:
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier "] = "https://<smahostname>:83");
- 使用SMA主機名和埠修改突出顯示的URL(如果您在CES環境中,則不需要埠,但埠必須指向euq1。<allocation>.iphmx.com)
步驟10.確保索賠規則順序為:LDAP宣告規則第一,自定義宣告規則第二,如下圖所示。
步驟11.登入到EUQ,必須重定向到ADFS主機。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
意見