Resources

    SAML 与 ADFS 集成

    Active Directory 联合身份验证服务 (ADFS) 是 Microsoft 创建的单点登录解决方案。ADFS 通过在 Active Directory (AD) 和目标应用之间托管的代理服务管理身份验证。
    您必须从 ADFS 获取登录 URL退出 URL证书。    

    1. 登录 ADFS 3.0 服务器并打开管理控制台。  
    2. 右键单击左窗格菜单中的 Service(服务),然后选择 Edit Federation Service Properties(编辑联合身份验证服务属性)。    
    3. General(常规)下,确保您的 DNS 条目和证书名称正确。  
    4. 使用您的联合身份验证服务名称,使用浏览器访问 https://federationservicename.com/federationMetaData/2007-06/FederationMetaData.xml
      示例:
      https://yourdomain.samlportal.com/federationMetaData/2007-06/FederationMetaData.xml
      登录 URL  和 退出 URL 在 XML 文件中显示为 SingleSignOnServiceSingleLogoutService 标记          
    5. 导出令牌签名证书:

      • 5(a)

        5(b)

        5(f)

        5(g)

        5(h)

        • 右键单击左侧窗格菜单中的 Certificate(证书)然后单击 View Certificate(查看证书)。    
        • 选择 Details(详细信息)选项卡。  
        • 单击 Copy to File(复制到文件)。系统将打开证书导出向导。  
        • 单击 Next(下一步)
        • 确保选中 No, do not export the private key(不,不导出私钥)选项,然后单击 Next(下一步)。 
        • 选择 Base-64 encoded X.509 (.cer)(Base-64 编码 X.509 (.cer)),然后单击 Next(下一步)。 
        • 选择保存文件的位置并命名。单击 Next(下一步)
        • 选择 Finish(完成)。该实例要求此证书采用 .cer 或 .pem 格式。 
    6. 在 Zoho 配置单点登录 URL 和实体 ID URL。

    在 ADFS 上提交元数据

    添加信赖方信任

    1. a

      b

      c

      d

      e

      f

      g

      h

      i

      j

      k

      • 在左侧窗格菜单的 Trust Relationships(信任关系)下,右键单击 Relying Party Trusts(信赖方信任),然后选择 Add Relying Party Trust(添加信赖方信任)。这将打开 Add Relying Party Trust Wizard(添加信赖方信任向导)。     
      • Select Data Source(选择数据源)屏幕上,选择 Enter data about the relying party manually(手动输入有关信赖方的数据)。   
      • 指定显示名称 屏幕上,输入 zoho.com.cn 作为显示名称。  
      • 在 Choose Profile(选择配置文件)屏幕上,选择 AD FS 配置文件。  
      • 单击 Next(下一步)
      • 在 Configure URL(配置 URL)屏幕上,选中 Enable Support for the SAML 2.0 WebSSO protocol(为 SAML 2.0 WebSSO 协议启用支持)。 
      • 在 service URL(服务 URL)文本框中,输入您从 Zoho 下载的元数据中存在的 ACS URL。  
      • 在 Configure Identifiers(配置标识符)屏幕上,选择 zoho.com 作为 Relying Party Trust Identifier(信赖方信任标识符)。 
      • 在 立即配置多因素认证屏幕上,选择 我目前不想为此信赖方信任配置多因素认证设置。 
      • 在 Choose Issuance Authorization Rules(选择签发授权规则)屏幕上,选择 Permit all users to access this relying party(允许所有用户访问此信赖方)单选按钮。  
      • 该向导将在接下来的两个屏幕上显示您的设置概览。在最后一个屏幕上,使用 Close(关闭)按钮退出并打开 Claim Rules(声明规则)编辑器。  

    创建声明规则

    一旦创建了信赖方信任,您就可以创建声明规则。默认情况下,创建信任后将打开声明规则编辑器。

    1. 1

      2

      3

      4

      5

    1. 单击 Add Rule(添加规则)以创建新规则。 这将启动 Add Transform Claim Rule Wizard(添加转换声明规则向导)
    2. 在 Choose Rule Type(选择规则类型)屏幕上,从下拉菜单中选择 Send LDAP Attributes as Claims(将 LDAP 属性作为声明发送)。  单击 Next(下一步)
    3. 在 Configure Claim Rule(配置声明规则)屏幕上: 
      • 输入 Claim rule name(声明规则名称)
      • 从 属性存储的下拉菜单中选择活动目录。 
      • 在 LDAP Attribute(LDAP 属性)列中,从下拉菜单中选择E-Mail Addresses(电子邮件地址)。  
      •  Outgoing Claim Type(传出声明类型)列中,从下拉菜单中选择 E-Mail Address(电子邮件地址)。  
    4. 单击 Finish(完成)以保存规则。 
    5. 创建另一个声明规则,然后选择 Transform an Incoming Claim(转换传入声明)模板。 
    6. 在 Configure Claim Rule(配置声明规则)屏幕上: 
      • 输入声明规则名称 
      • 从下拉菜单中选择 E-Mail Address(电子邮件地址)作为传入声明类型。   
      • 从下拉菜单中选择 Name ID(姓名 ID)作为传出声明类型。  
      • 选择 Email(电子邮件)作为传出名称 ID 格式。  
    7. 选择 Pass through all claim values(传递所有声明值)单选按钮  
    8. 单击 Finish(完成)以创建声明规则。 
    9. 如果在 Zoho 选择了 Do you need Logout Response?(是否需要退出响应?): 
      • 在 SAML Authentication(SAML 身份验证)页面中的 Zoho Accounts 下载退出证书。   
      • 转到 信任关系下的 信赖方信任,然后选择  zoho.com.cn。  
      • 转到顶部导航栏上的 Endpoints(端点),然后单击 Add(添加)。 
      • 选择SAML Logout(SAML 退出)作为 Endpoint type(端点类型)。  
      • 输入 https://accounts.zoho.com.cn/samlDoLogout 作为  URL  
      • 转到顶部导航栏上的 Signature(签名),然后单击 Add(添加)。  
      • 上传 logout certificate(退出证书)。 
      • 转到顶部导航栏上的 Advanced(高级)。 
      • 选择 SHA-256 作为 Secure hash algorithm(安全哈希算法)。 

    Share this post : FacebookTwitter

    Still can't find what you're looking for?

    Write to us: support@zohoaccounts.com