為了確保讓 Access Manager 將 Identity Manager 識別為可信的服務提供者,請將 OSP 的中繼資料文字新增至身分伺服器,並設定一個屬性集。此程序包括以下活動:
Access Manager 需要 OSP 的中繼資料文字。您應該將中繼資料 .xml 檔案的內容複製到可在 Access Manager 身分伺服器上開啟的文件中。
在瀏覽器中,導覽至 OSP 中繼資料的 URL。依預設,Identity Manager 使用以下 URL:
https://server:port/osp/a/idm/auth/saml2/spmetadata
其中,server:port 代表代管 OSP 的 Tomcat 伺服器。
檢視 spmetadata.xml 檔案的頁面來源。
將該檔案的內容複製到可在將 Identity Manager 新增為可信的服務提供者 中存取的文件中。
為了確保 SAML 能夠在 Access Manager 與 OSP 之間執行宣示交換,請在 Access Manager 中建立一個屬性集。屬性集為交換提供通用命名規劃。OSP 會尋找用於識別宣示標題的屬性值。依預設,該屬性為 mail。
如需詳細資訊,請參閱《NetIQ Access Manager Administration Guide》(NetIQ Access Manager 管理指南) 中的「Configuring Attribute Sets」(設定屬性集)。
開啟 Access Manager 的管理主控台。
按一下裝置 > 身分伺服器 > 共享設定 > 屬性集 > 新增。
指定屬性集的名稱。例如 IDM SAML Attributes。
按下一步,然後按一下新增。
對於本地屬性,請選取 Ldap 屬性:mail [LDAP 屬性設定檔]。
對於遠端屬性,請指定 mail。
按一下確定,然後按一下完成。
設定 Access Manager,以將 Identity Manager 識別為可信的服務提供者。如需詳細資訊,請參閱《NetIQ Access Manager Administration Guide》(NetIQ Access Manager 管理指南) 中的「Creating a Trusted Service Provider for SAML 2.0」(為 SAML 2.0 建立可信的服務提供者)。
開啟 Access Manager 的管理主控台。
按一下裝置 > 身分伺服器 > 編輯 > SAML 2.0。
按一下新增 > 服務提供者。
對於提供者類型,請指定一般。
對於來源,請指定中繼資料文字。
在文字欄位中,貼上您在複製 Identity Manager 的中繼資料 中複製的 spmetadata.xml 檔案內容。
指定新 OSP 服務提供者的名稱。
按下一步,然後按一下完成。
在 SAML 2.0 索引標籤上,選取您在步驟 7 中建立的 OSP 服務提供者。
按一下屬性。
選取您在建立 SAML 的屬性集 中建立的屬性集。例如 IDM SAML Attributes。
將可用於 OSP 服務提供者集的屬性移至頁面左側的驗證時傳送面板中。
移至驗證時傳送面板中的屬性是您要在驗證期間取得的屬性。
按兩次確定。
若要更新身分伺服器,請按一下裝置 > 身分伺服器 > 更新 > 更新所有組態。