要建立有效的身份验证方法,我们必须首先建立一个身份验证服务器。
第一阶段是选择所需的身份验证方法。
单击添加服务器。
从下拉菜单中选择方法。
身份验证服务器功能是动态的,只显示您选择的身份验证方法所需的字段。
请准确填写,以确保与服务器的正确连接。
LDAP、LDAP-MD5、LSAPS、LDAPS-MD5、Radius 和 SAML 的选项
|
选项
|
说明
|
|
方法
|
选择验证方法
LDAP - 基本 LDAP,用户名和密码以明文发送到 LDAP 服务器。
LDAP-MD5 - 基本 LDAP,用户名为明文,密码为 MD5 哈希值,以提高安全性。
LDAPS - 通过 SSL 的 LDAP。通过 ADC 和 LDAP 服务器之间的加密隧道以明文发送密码。
LDAPS-MD5 - 通过 SSL 的 LDAP。在 ADC 和 LDAP 服务器之间的加密隧道中,密码经过 MD5 散列处理,以提高安全性。
|
|
名称
|
为您的服务器起一个用于识别的名称--该名称将在任何规则中使用。
|
|
服务器地址
|
添加身份验证服务器的 IP 地址或主机名
|
|
港口
|
对于 LDAP 和 LDAPS,端口默认设置为 389 和 636。
Radius 的端口一般为 1812。
对于 SAML,端口在 ADC 中设置。
|
|
域名
|
添加 LDAP 服务器的域名。
|
|
登录格式
|
使用您需要的登录格式。
用户名 - 选择此格式后,只需输入用户名。用户输入的任何用户和域信息都会被删除,并使用服务器上的域信息。
用户名和域 - 用户必须输入完整的域和用户名语法。例如:mycompany\jdoe OR jdoe@mycompany。在服务器级别输入的域信息将被忽略。
空白 - ADC 将接受用户输入的任何内容并将其发送到身份验证服务器。使用 MD5 时使用此选项。
|
|
说明
|
添加说明
|
|
搜索基地
|
该值是在 LDAP 数据库中搜索的起点。
示例 dc=mycompany,dc=local
|
|
搜索条件
|
搜索条件必须符合 RFC 4515。例如
(MemberOf=CN=Phone-VPN,CN=Users,DC=mycompany,DC=local)。
|
|
搜索用户
|
在目录服务器中搜索域管理用户。
|
|
密码
|
域管理员用户的密码。
|
|
死亡时间
|
非活动服务器重新标记为活动的时间长度
|
SAML 身份验证的选项
重要:通过 SAML 设置身份验证时,需要为 Entra ID 身份验证创建企业应用程序。相关说明请参阅 在 Microsoft Entra 中设置 Entra ID 身份验证应用程序一章。
|
选项
|
说明
|
|
方法
|
选择验证方法
LDAP - 基本 LDAP,用户名和密码以明文发送到 LDAP 服务器。
LDAP-MD5 - 基本 LDAP,用户名为明文,密码为 MD5 哈希值,以提高安全性。
LDAPS - 通过 SSL 的 LDAP。通过 ADC 和 LDAP 服务器之间的加密隧道以明文发送密码。
LDAPS-MD5 - 通过 SSL 的 LDAP。在 ADC 和 LDAP 服务器之间的加密隧道中,密码经过 MD5 散列,以提高安全性。
|
|
名称
|
为您的服务器起一个用于识别的名称--该名称将在任何规则中使用。
|
|
身份供应商
|
|
|
IdP 证书匹配
|
身份提供者证书匹配是指验证身份提供者(IdP)用于签署 SAML 声明的数字证书与服务提供商(SP)信任的证书是否匹配的过程。这种验证可确保身份提供者是合法的,其发送的断言是真实的,未被篡改。SP 通常会在其元数据中存储 IdP 的证书,并将 SAML 声明中嵌入的证书与存储的证书进行比较,以确定是否匹配。
|
|
IDP 实体 ID
|
SAML IdP 实体 ID 是一个全球唯一的标识符,是安全断言标记语言(SAML)生态系统中身份提供商(IdP)的明确地址。该标识符通常是一个 URL 或 URI,可将 IDP 与参与基于 SAML 的身份验证和授权流程的其他实体唯一区分开来。它在建立信任和促进 IdP、服务提供商 (SP) 与用户之间的安全通信方面发挥着至关重要的作用。
|
|
IdP SSO URL
|
IdP SSO URL 是单点登录 URL 的简称,是由身份提供商(IdP)提供的特定端点 URL,用作启动单点登录(SSO)会话的身份验证网关。将用户重定向到该 URL 时,IdP 会提示用户使用其凭据进行身份验证,身份验证成功后,IdP 会将用户重定向回服务提供商 (SP),并提供包含其身份信息的断言。然后,SP 验证该断言,允许用户访问 SP 的资源,而无需重新进行身份验证。
|
|
IdP 注销 URL
|
SAML IdP 注销 URL 是身份供应商(IdP)上的一个特定端点,用于启动和管理单点登录(SSO)会话的注销流程。当用户点击应用程序上的注销按钮时,应用程序会将用户重定向到 IdP 的注销 URL。然后,IdP 会使用户在与 SSO 身份验证相关的所有依赖方上的会话失效,并向应用程序发送注销响应,从而有效地将用户注销所有已连接的应用程序。
|
|
IDP 证书
|
SAML IdP 证书是由可信机构向参与安全断言标记语言(SAML)验证协议的身份提供者(IdP)签发的 X.509 数字证书。该证书是验证身份提供者身份以及验证身份提供者与服务提供商(SP)之间交换的 SAML 信息的完整性和保密性的安全手段。
您可以使用下拉菜单选择将安装在 ADC 中的 IdP 证书。
|
|
说明
|
对定义的描述。
|
|
搜索用户
|
搜索域管理员用户。
|
|
密码
|
用于指定管理员用户的密码。
|
|
服务器提供商
|
|
|
SP 实体 ID
|
SP 实体 ID 是一个唯一标识符,在 SAML 协议中作为特定服务提供商 (SP) 的全局地址。它是标识 SP 的一种标准化方式,通常是一个 URL 或其他 URI,用于定位 SP 的 SAML 元数据,其中包含加密证书和验证端点等关键信息。
|
|
SP 签名证书
|
SAML SP 签名证书是服务提供商(SP)用来签署 SAML 响应的 X.509 证书,可确保单点登录(SSO)验证过程中 SP 和身份提供商(IdP)之间交换信息的真实性和完整性。SP 使用私钥签署响应,IdP 使用与证书相关的公钥验证签名,确认发送者的身份和信息内容未被篡改。
|
|
SP 会话超时
|
SP 会话超时是指通过身份供应商(IdP)成功单点登录(SSO)后,用户的认证会话在服务供应商(SP)端被视为有效的最长持续时间。超过规定时间后,SP 将终止会话,并要求用户重新认证,以重新获得受保护资源的访问权。这种机制有助于防止未经授权的访问,并确保用户会话不会长时间闲置。
|
