为确保 Access Manager 将 Identity Manager 识别为可信的服务提供程序,请将 OSP 的元数据文本添加到身份服务器,并配置一个属性集。此过程包括以下活动:
Access Manager 需要 OSP 的元数据文本。您应该将元数据 .xml 文件的内容复制到可通过 Access Manager 身份服务器打开的文档。
在浏览器中,浏览到 OSP 元数据的 URL。默认情况下,Identity Manager 使用以下 URL:
https://server:port/osp/a/idm/auth/saml2/spmetadata
其中,server:port 表示托管 OSP 的 Tomcat 服务器。
查看 spmetadata.xml 文件的页面来源。
将该文件的内容复制到可在将 Identity Manager 添加为可信的服务提供程序中访问的文档。
为确保 SAML 能够在 Access Manager 与 OSP 之间执行声明交换,请在 Access Manager 中创建一个属性集。属性集为交换提供了一个通用命名方案。OSP 会查找用于标识声明主题的属性值。默认情况下,该属性为 mail。
有关详细信息,请参见《NetIQ Access Manager Administration Guide》(NetIQ Access Manager 管理指南)中的“Configuring Attribute Sets”(配置属性集)。
打开 Access Manager 的管理控制台。
单击设备 > 身份服务器 > 共享设置 > 属性集 > 新建。
指定属性集的名称。例如:IDM SAML Attributes。
单击下一步,然后单击新建。
对于本地属性,请选择 Ldap 属性:mail [LDAP 属性配置文件]。
对于远程属性,请指定 mail。
单击确定,然后单击完成。
配置 Access Manager 以将 Identity Manager 识别为可信的服务提供程序。有关详细信息,请参见《NetIQ Access Manager Administration Guide》(NetIQ Access Manager 管理指南)中的“Creating a Trusted Service Provider for SAML 2.0”(为 SAML 2.0 创建可信的服务提供程序)。
打开 Access Manager 的管理控制台。
单击设备 > 身份服务器 > 编辑 > SAML 2.0。
单击新建 > 服务提供程序。
对于提供程序类型,请指定一般。
对于源,请指定元数据文本。
在文本字段中,粘贴您在复制 Identity Manager 的元数据中复制的 spmetadata.xml 文件内容。
指定新 OSP 服务提供程序的名称。
单击“下一步”,然后单击“完成”。
在 SAML 2.0 选项卡上,选择您在步骤 7 中创建的 OSP 服务提供程序。
单击属性。
选择您在创建 SAML 的属性集中创建的属性集。例如:IDM SAML Attributes。
将可用于 OSP 服务提供程序集的属性移至页面左侧的鉴定时发送面板中。
移至鉴定时发送面板中的属性就是您在鉴定期间要获取的属性。
单击确定两次。
要更新身份服务器,请单击设备 > 身份服务器 > 更新 > 更新所有配置。