Active Directory 联合身份验证服务 (AD FS) 配置

要配置 AD FS,需要有关在 Windows 平台上管理服务的复杂知识。AD FS 在 Windows Server 2012 R2 上可以正常工作,但我们未测试其他版本。

请注意,以下说明是作为示例提供的,可能不同于特定情况下所需的内容。
  1. 在 Windows Server 上,打开 Microsoft 管理控制台 (mmc.exe) 并添加 AD FS 管理工具管理单元。单击“添加信赖方信任...”
     
    示例应用 - 之前

  2. 单击“开始”。
     
    添加信赖方信任 - 欢迎

  3. 选中单选按钮“手动输入有关信赖方的数据”,然后按“下一步”。
     
    添加信赖方信任 - 选择数据源

  4. 输入您的应用程序名称,然后按“下一步”。
     
    添加信赖方信任 - 指定显示名称

  5. 选择“AD FS 配置文件”,然后按“下一步”。
     
    添加信赖方信任 - 选择配置文件

  6. (可选)选择加密证书,然后按“下一步”。
     
    添加信赖方信任 - 配置证书

  7. 输入 AD FS 用于发送声明的 URL,然后按“下一步”。
     
        https://YOUR SITE URL/saml/saml_login_response
     
    添加信赖方信任 - 配置 URL

  8. 输入信赖方信任标识符的 URL,然后按“添加”。
     
        https://YOUR SITE URL/saml/metadata
     
    添加信赖方信任 - 配置标识符 - 输入

  9. 按“下一步”。
    添加信赖方信任 - 配置标识符 - 添加

  10. (可选)配置多重身份认证 (MFA),然后按“下一步”。
     
    添加信赖方信任 - MFA

  11. 配置颁发授权规则,然后按“下一步”。
     
    添加信赖方信任 - 授权规则

  12. 查看新配置,然后按“下一步”。
     
    添加信赖方信任 - 查看信息

  13. 完成并继续编辑声明规则。
     
    添加信赖方信任 - 完成

  14. 在声明规则编辑器中,单击“添加规则...”。
     
    编辑声明规则 - 空

  15. 选择“转换传入声明”,然后按“下一步”。
     
    编辑声明规则 - 添加规则 - 转换传入声明

  16. 输入规则名称(例如,NameId),选择声明类型“Windows 帐户名称”,将“传出声明类型”设置为“Name ID”,然后选择 ID 格式“临时标识符”。然后单击“完成”。
     
    编辑声明规则 - 添加名称 ID

  17. 回到声明规则编辑器中,单击“添加规则...”
     
    编辑声明规则 - 名称 ID

  18. 选择“以声明方式发送 LDAP 特性”,然后按“下一步”。
     
    编辑声明规则 - 添加规则 - 以声明方式发送 LDAP 特性

  19. 输入规则名称(例如,User Informations),选择属性存储 Active Directory,将 Given-NameSurnameE-Mail-Addesses、SAM-Account-Name 的映射分别添加到 firstnamelastnameemaillogin_id 中。然后单击“完成”。 (重要信息:我们使用 Windows 登录名作为 login_id,但您可以选择其他唯一值,例如电子邮件)

    Screen_Shot_2019-06-18_at_2.05.13_PM.png

  20. 回到声明规则编辑器中,最后一次单击“添加规则...”。
     
    编辑声明规则 - 用户信息

  21. 选择“使用自定义规则发送声明”,然后按“下一步”。
     
    编辑声明规则 - 添加规则 - 使用自定义规则发送声明

  22. 输入规则非名称(例如,access),然后输入自定义规则:
        => issue(Type = "access", Value = "true");
     
    在此示例中,我们允许所有人访问 Shotgun。您可能希望应用不同的规则。
     
    然后单击“完成”。
     
    编辑声明规则 - 添加访问

  23. 通过这些声明,可提供 Shotgun 所需的最低信息量。单击“确定”。
     
    编辑声明规则 - 访问

  24. 现在,您可以在 Shotgun 上测试 SSO 设置。请注意,我们忽略了 groups 声明,因为要配置自定义规则,它需要组织特定的信息。
     
    示例应用 - 最终

  25. 向 Shotgun 管理员提供 SSO 配置。通常,这些内容将如下所示:
        SAML 2.0 端点 (HTTPS):https://YOUR_ADFS_SERVER/adfs/ls
        身份认证器:http://YOUR_ADFS_SERVER/adfs/services/trust
    请注意,URL 可能使用 http 或 https,具体取决于您的特定环境。如果 Shotgun 中的值与预期值不匹配,SAML 身份验证测试链接(在“站点偏好设置”->“身份验证”部分)会告知您。需要稍微修复。

    对于公共证书,您可以在此下载联合身份验证元数据:
        https://YOUR_ADFS_SERVER/FederationMetada/2007-06/FederationMetadata.xml
    您将需要从 XML 文件提取:
        公共证书:ds:Signature 部分中的 X509Certificate

 

关注