تثبيت ملف البيانات الأولية على ADFS
المحتويات
المقدمة
يوضح هذا المستند كيفية تثبيت ملف بيانات التعريف على خدمات إتحاد Microsoft Active Directory (ADFS).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- نظام الملفات الموزعة
- تكامل لغة تمييز تأكيد الأمان (SAML) مع جهاز إدارة الأمان
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- SMA 11.x.x
- SMA 12.x.x
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
قبل أن يتم تثبيت ملف البيانات الأولية في ADFS، تأكد من أن تلك المتطلبات يتم تلبيتها:
- تمكين SAML في SMA
- تحقق ما إذا كان موفر الهوية الذي تستخدمه مؤسستك مدعوما بواسطة جهاز إدارة أمان المحتوى من Cisco. هؤلاء هم مزودو الهوية المدعومون:
-
خدمات إتحاد Microsoft Active Directory (ADFS) 2.0
-
Ping Identity Federate 7.2
-
جهاز أمان الويب 9.1 من Cisco
-
-
احصل على هذه الشهادات المطلوبة لتأمين الاتصال بين الجهاز وموفر الهوية:
-
إذا كنت تريد من الجهاز الخاص بك توقيع طلبات مصادقة SAML أو إذا كنت تريد من موفر الهوية تشفير تأكيدات SAML، احصل على شهادة موقعة ذاتيا أو شهادة من مرجع مصدق موثوق به (CA) والمفتاح الخاص المرتبط.
-
إذا كنت تريد أن يوقع موفر الهوية على تأكيدات SAML، احصل على شهادة موفر الهوية. يستخدم الجهاز الخاص بك هذه الشهادة للتحقق من تأكيدات SAML الموقعة
-
التكوين
الخطوة 1. انتقل إلى SMA وحدد إدارة النظام > SAML > تنزيل البيانات الأولية، كما هو موضح في الصورة.
الخطوة 2. يتم ملء ملف تعريف موفر الهوية تلقائيا عندما يقوم العميل بتحميل ملف بيانات تعريف ADFS الخاص به. يوجد لدى Microsoft عنوان URL افتراضي: https://<ADFS-host>/FederationMetadata/2007-06/FederationMetadata.xml.
الخطوة 3. ما إن يتم إعداد كل من ملفات التعريف، يجب تحرير بيانات تعريف ملف تعريف SP، حسب الخطأ CSCvh30183.. يظهر ملف البيانات الأولية كما هو موضح في الصورة.
الخطوة 4. إزالة المعلومات المبرزة، في ملف نهاية البيانات الأولية يجب أن يكون كما هو موضح في الصورة.
الخطوة 5. انتقل إلى ADFS الخاص بك وقم بإدراج ملف البيانات الأولية المحررة في أدوات ADFS > إدارة AD FS > إضافة ثقة طرف الاعتماد، كما هو موضح في الصورة.
الخطوة 6. بعد قيامك باستيراد ملف بيانات التعريف بنجاح، قم بتكوين قواعد المطالبات الخاصة ب "ثقة الطرف المعول" التي تم إنشاؤها حديثا، حدد قالب قاعدة المطالبة >إرسال سمات LDAP، كما هو موضح في الصورة.
الخطوة 7. قم بتسمية اسم قاعدة المطالبة، ثم حدد مخزن السمات > Active Directory.
الخطوة 8. تخطيط خصائص LDAP، كما هو موضح في الصورة.
- سمة LDAP > عناوين البريد الإلكتروني
- نوع المطالبة الصادرة > عنوان البريد الإلكتروني
الخطوة 9. قم بإنشاء قاعدة مطالبة مخصصة جديدة باستخدام هذه المعلومات، كما هو موضح في الصورة.
هذه هي القاعدة المخصصة التي يجب إضافتها إلى قاعدة المطالبة المخصصة:
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier "] = "https://<smahostname>:83");
- قم بتعديل عنوان URL المميز باستخدام اسم مضيف ومنفذ SMA (إذا كنت على بيئة CES، فلن يكون المنفذ مطلوبا ولكنه يجب أن يشير إلى euq1.<distribution>.iphmx.com)
الخطوة 10. تأكد من أن ترتيب قاعدة المطالبة هو: قاعدة مطالبة LDAP أولا وقاعدة المطالبة المخصصة الثانية، كما هو موضح في الصورة.
الخطوة 11. قم بتسجيل الدخول إلى EUQ، ويجب أن يعيد التوجيه إلى مضيف ADFS.
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
التعليقات