要配置 AD FS,需要有关在 Windows 平台上管理服务的复杂知识。AD FS 在 Windows Server 2012 R2 上可以正常工作,但我们未测试其他版本。
请注意,以下说明是作为示例提供的,可能不同于特定情况下所需的内容。
-
在 Windows Server 上,打开 Microsoft 管理控制台 (mmc.exe) 并添加 AD FS 管理工具管理单元。单击“添加信赖方信任...”
-
单击“开始”。
-
选中单选按钮“手动输入有关信赖方的数据”,然后按“下一步”。
-
输入您的应用程序名称,然后按“下一步”。
-
选择“AD FS 配置文件”,然后按“下一步”。
-
(可选)选择加密证书,然后按“下一步”。
-
输入 AD FS 用于发送声明的 URL,然后按“下一步”。
https://YOUR SITE URL/saml/saml_login_response
-
输入信赖方信任标识符的 URL,然后按“添加”。
https://YOUR SITE URL/saml/metadata
-
按“下一步”。
-
(可选)配置多重身份认证 (MFA),然后按“下一步”。
-
配置颁发授权规则,然后按“下一步”。
-
查看新配置,然后按“下一步”。
-
完成并继续编辑声明规则。
-
在声明规则编辑器中,单击“添加规则...”。
-
选择“转换传入声明”,然后按“下一步”。
-
输入规则名称(例如,NameId),选择声明类型“Windows 帐户名称”,将“传出声明类型”设置为“Name ID”,然后选择 ID 格式“临时标识符”。然后单击“完成”。
-
回到声明规则编辑器中,单击“添加规则...”。
-
选择“以声明方式发送 LDAP 特性”,然后按“下一步”。
-
输入规则名称(例如,User Informations),选择属性存储 Active Directory,将 Given-Name、Surname 和 E-Mail-Addesses、SAM-Account-Name 的映射分别添加到 firstname、lastname、email 和 login_id 中。然后单击“完成”。 (重要信息:我们使用 Windows 登录名作为 login_id,但您可以选择其他唯一值,例如电子邮件)
-
回到声明规则编辑器中,最后一次单击“添加规则...”。
-
选择“使用自定义规则发送声明”,然后按“下一步”。
-
输入规则非名称(例如,access),然后输入自定义规则:
=> issue(Type = "access", Value = "true");
在此示例中,我们允许所有人访问 Shotgun。您可能希望应用不同的规则。
然后单击“完成”。
-
通过这些声明,可提供 Shotgun 所需的最低信息量。单击“确定”。
-
现在,您可以在 Shotgun 上测试 SSO 设置。请注意,我们忽略了 groups 声明,因为要配置自定义规则,它需要组织特定的信息。
-
向 Shotgun 管理员提供 SSO 配置。通常,这些内容将如下所示:
SAML 2.0 端点 (HTTPS):https://YOUR_ADFS_SERVER/adfs/ls
身份认证器:http://YOUR_ADFS_SERVER/adfs/services/trust
请注意,URL 可能使用 http 或 https,具体取决于您的特定环境。如果 Shotgun 中的值与预期值不匹配,SAML 身份验证测试链接(在“站点偏好设置”->“身份验证”部分)会告知您。需要稍微修复。
对于公共证书,您可以在此下载联合身份验证元数据:
https://YOUR_ADFS_SERVER/FederationMetada/2007-06/FederationMetadata.xml
您将需要从 XML 文件提取:
公共证书:ds:Signature 部分中的 X509Certificate。