为 SAML 更新 Okta 令牌证书和定制属性
为 AppScan Enterprise 配置 Okta 服务时,您必须将相关联的单点登录、颁发者 URL 和令牌证书添加到 SAML 属性。
开始之前
- 您必须具有有权访问 AppScan Enterprise 安装文件夹的用户。
- 您必须是 Okta 管理员。
- 您必须已将 Okta 配置为 AppScan Enterprise 中的 SAML IdP。请参阅启用 SAML 服务提供者。
关于此任务
将根据这些 IdP 实体 URL 在 SP 和 IdP 之间验证 SAML-SSO 认证的整个过程。单点登录 URL 是用于从您可登录 AppScan Enterprise 应用程序 SP 的位置访问 Okta 应用程序的 IdP URL;颁发者 URL 是 SP 用于识别 IdP 进行 SAML 断言的唯一 URL,而在 AppScan Enterprise 应用程序集成期间生成的 SAML 令牌签名者证书是 IdP 与 SAML 服务提供者建立信任用以交换认证请求的基础。
本部分说明如何使用 Okta 定制属性和 SAML 令牌签名者证书来更新 SAML 属性。
过程
- 登录到您的 Okta 帐户。
-
在类别菜单下,单击应用程序。
此时将显示与 Okta 帐户集成的应用程序的列表。
-
在此列表中单击“AppScan Enterprise 应用程序”。
此时将显示“AppScan Enterprise 应用程序配置”页面。
- 单击登录选项卡。
-
单击设置部分下的查看设置说明。
注: 仅当您首次在 Okta 中设置 AppScan Enterprise 应用程序时,才会显示此项。但是,之后您可以使用编辑选项来修改或更改配置。您可以在显示的查看设置说明页面中查看 IdP 生成的以下属性值:
- 身份提供者单点登录 URL
- 身份提供者的颁发者
- X.509 证书
-
将与这些属性对应的值复制到记事本中。
注: 在复制 X.509 证书信息之前,您必须将证书数据转换为单行字符串格式。提示:您可以使用 https://www.samltool.com/format_x509cert.php 工具将证书数据转换为不同格式,例如单行字符串格式。
- 转到安装了 AppScan Enterprise 应用程序的服务器。
- 导航至安装了 AppScan Enterprise 软件包的安装目录中的配置文件文件夹。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config。
- 找到并在文本编辑器中打开 SAML 配置属性 onelogin.saml.properties 文件。
-
使用您在 Okta 查看设置说明页面中记录的生成值更新 SAML 配置属性文件 onelogin.saml.properties 中的以下定制属性。
SAML 属性 要更新的属性值 onelogin.saml2.idp.single_sign_on_service.url 更新身份提供者单点登录 URL 值。 onelogin.saml2.idp.entityid 更新身份提供者的颁发者值。 onelogin.saml2.idp.x509cert 更新您已记录的 X.509 证书的单行字符串值。 onelogin.saml2.sp.assertion_consumer_service.url 使用此值编辑这些参数 <ASE url>/api/saml onelogin.saml2.sp.entityid 使用此值编辑这些参数 <ASE url>/api/metadata.jsp - 更新 onelogin.saml.properties 文件后,保存并关闭该文件。