Orchestrator 用户指南

适用平台：

上次更新日期 2025年4月22日

PingOne 身份验证

配置 PingOne 以识别新的 Orchestrator 计算机

注意：以下步骤对 PingOne SAML 设置有效。请注意，以下过程是示例配置的简要描述。有关详细的操作，请访问官方 PingOne 文档。

登录到 PingOne 管理员控制台。
在“应用程序”选项卡上，选择“+ 添加应用程序”。一个新窗口随即打开。
选择“网页应用程序”，然后在“SAML”框中选择“配置”按钮。
在“创建应用程序配置文件”页面上，在专用字段中输入应用程序名称，然后选择“下一步”按钮。
在“配置 SAML”页面上，通过填写 Orchestrator 实例的 URL 并加上后缀 identity/Saml2/Acs 指定 ACS URL。例如：https://orchestratorURL/identity/Saml2/Acs。请记住，ACS 区分大小写。
向下滚动“配置 SAML”页面，然后将实体 ID 设置为 https://orchestratorURL。
在同一页面上，选择“HTTP 重定向”作为 SLO 绑定。
在“断言有效期”字段中，输入所需的有效期（以秒为单位），然后按“下一步”。
在“映射属性”页面上，映射以下属性：“电子邮件地址”= http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
选择“保存”，然后从“应用程序”选项卡中打开该应用程序。
在新打开的窗口中，复制“单点登录 URL”。

将 Orchestrator/Identity Server 设置为使用 PingOne 身份验证

在 Orchestrator 中定义一个用户，并在“用户”页面上设置一个有效的电子邮件地址。
使用 Microsoft 管理控制台将身份提供程序提供的签名证书导入到 Windows 证书存储。
以系统管理员身份登录到管理门户。
转到“用户”，然后选择“安全设置”选项卡。
在“ 外部提供程序 ”部分中，单击“ SAML 2.0”下的“配置”：

“配置 SAML 2.0”面板将在窗口右侧打开。
进行如下设置：
- 选择“已启用”复选框。
- 将“ 服务提供程序实体 ID ”参数设置为 https://orchestratorURL。
- 将“身份提供商实体 ID”参数设置为通过配置 PingOne 身份验证获得的值。
- 将“单点登录服务 URL”参数设置为通过配置 PingOne 身份验证获得的值。
- 选择“允许主动执行的身份验证响应”复选框。
- 将“返回 URL”参数设置为 https://orchestratorURL/identity/externalidentity/saml2redirectcallback。
- 将“外部用户映射策略”参数设置为 By user email。
- 将 SAML 绑定类型 参数设置为 HTTP redirect。
- 在“证书签名”部分中，将“存储名称”参数设置为 My。
- 将“存储位置”参数设置为 LocalMachine。
- 将“指纹”参数设置为 Windows 证书存储中提供的指纹值。请访问此处，了解详细信息。
  
  备注：
  将所有出现的 https://orchestratorURL 替换为 Orchestrator 实例的 URL。
  
  确保 Orchestrator 实例的 URL 不包含斜杠。始终将其填写为 https://orchestratorURL 而不是 https://orchestratorURL/。
单击“保存”将更改保存到外部身份提供程序设置。
重新启动 IIS 服务器。