Orchestrator 用户指南
PingOne 身份验证
配置 PingOne 以识别新的 Orchestrator 计算机
以下步骤对 PingOne SAML 设置有效。请注意,以下过程是示例配置的简要描述。有关详细的操作,请访问官方 PingOne 文档。
-
登录到 PingOne 管理员控制台。
-
在“应用程序”选项卡上,选择“+ 添加应用程序” 。一个新窗口随即打开。
-
选择“网页应用程序” ,然后在“SAML”框中选择“配置”按钮。
-
在“创建应用程序配置文件”页面上,在专用字段中输入应用程序名称,然后选择“下一步”按钮。
-
在“配置 SAML”页面上,通过填写 Orchestrator 实例的 URL 并加上后缀
identity/Saml2/Acs指定 ACS URL。例如:https://orchestratorURL/identity/Saml2/Acs。请记住,ACS 区分大小写。 -
向下滚动“配置 SAML”页面,然后将实体 ID 设置为
https://orchestratorURL。 -
在同一页面上,选择“HTTP 重定向”作为 SLO 绑定。
-
在“断言有效期”字段中,输入所需的有效期(以秒为单位),然后按“下一步”。
-
在“映射属性”页面上,映射以下属性:电子邮件地址=
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
选择“保存” ,然后从“应用程序”选项卡中打开该应用程序。
-
在新打开的窗口中,复制“单点登录 URL”。
将 Orchestrator/Identity Server 设置为使用 PingOne 身份验证
-
在 Orchestrator 中定义一个用户,并在“用户”页面上设置一个有效的电子邮件地址。
-
使用 Microsoft 管理控制台将身份提供程序提供的签名证书导入 Windows 证书存储。
-
以系统管理员身份登录到管理门户。
-
Select Security.
-
在“SAML SSO”下选择“配置” :
“ SAML SSO 配置”页面随即打开。
-
进行如下设置:
- 如果在启用集成后,如果您希望用户仅通过 SAML 集成登录,则可以选择选中“使用此提供程序强制自动登录” 复选框。
- Set the Service Provider Entity ID parameter to
https://orchestratorURL. - 将“身份提供商实体 ID”参数设置为通过配置 PingOne 身份验证获得的值。
- 将“单点登录服务 URL”参数设置为通过配置 PingOne 身份验证获得的值。
- 选择“允许主动执行的身份验证响应”复选框。
- 将“返回 URL”参数设置为
https://orchestratorURL/identity/externalidentity/saml2redirectcallback。 - 将“外部用户映射策略”参数设置为
By user email。 - Set the SAML binding type parameter to
HTTP redirect. - 在“签名证书” 部分的“存储名称” 列表中,选择“我的” 。
- 从“商店位置” 列表中,选择
LocalMachine。 - 在“指纹”字段中,添加 Windows 证书存储中提供的指纹值。详细信息。
备注:
将所有出现的
https://orchestratorURL替换为 Orchestrator 实例的 URL。确保 Orchestrator 实例的 URL 不包含斜杠。始终将其填写为https://orchestratorURL,而不是https://orchestratorURL/。
-
选择“保存”将更改保存到外部身份提供程序设置。
页面将关闭,您将返回到“安全设置”页面。
-
选择“SAML SSO”左侧的切换开关以启用集成。
-
重新启动 IIS 服务器。