为 SAML 更新 PingFederate 令牌证书和定制属性

为 AppScan Enterprise 配置 PingFederate 服务时,您必须将相关联的单点登录、颁发者 URL 和令牌证书添加到 SAML 属性。

开始之前

  • 您必须是 AppScan Enterprise 管理员才能配置 PingFederate 身份提供者 (IdP)。
  • 您的帐户必须具有对 PingFederate 应用程序的管理访问特权。
  • 您必须已将 PingFederate 配置为 AppScan Enterprise 中的 SAML IdP。请参阅启用 SAML 服务提供者

关于此任务

为 SP 配置 IdP 时,IdP 会生成 SP 在 SAML 断言期间识别的唯一实体 URL。这些实体 URL 中的每一个都包含有关 IdP 属性的信息,从 IdP 收到用户认证请求时 SP 将在 SAML 断言期间识别并验证这些信息。您必须在 SAML 属性文件中输入这些实体 URL 值,才能启用 SAML 识别过程。

本部分说明如何使用 PingFederate 定制属性和 SAML 令牌签名者证书来更新 SAML 属性。

过程

  1. 通过在浏览器中使用 PingFederate URL 打开 PingFederate 应用程序页面。
    此时将显示 PingFederate 登录页面。
  2. 以管理员身份登录到 PingFederate 帐户。
    此时将显示“PingFederate 仪表板”页面。
  3. 单击连接菜单。
    您已配置的 AppScan Enterprise 应用程序将显示在连接页面中的应用程序部分下。
  4. 单击“AppScan Enterprise 应用程序”。
    例如:ASE-SSO
    此时将显示“AppScan Enterprise 应用程序配置”页面。
  5. 单击配置选项卡。
    此时将显示 PingFederate 为 SAML-SSO 属性生成的以下元数据。
    • 颁发者标识
    • 启动单点登录 URL
    • X.509 证书(供下载)
  6. 单击下载
    将以 XML 格式下载该证书。
  7. 打开证书 XML 文件并复制证书数据。
    注: 在复制证书数据之前,您必须将 X.509 证书数据转换为单行字符串格式。
    提示:您可以使用 https://www.samltool.com/format_x509cert.php 工具将证书数据转换为不同格式,例如单行字符串格式。
  8. 将与这些属性对应的所有这些元数据值复制到记事本中。
  9. 转到安装了 AppScan Enterprise 应用程序的服务器。
  10. 导航至安装了 AppScan Enterprise 软件包的安装目录中的配置文件文件夹。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config
  11. 找到并在文本编辑器中打开 SAML 配置属性 onelogin.saml.properties 文件。
  12. 您必须使用已记录的元数据值更新 SAML 配置属性文件 onelogin.saml.properties 中的以下定制属性。
    SAML 属性要更新的属性值
    onelogin.saml2.idp.single_sign_on_service.url 更新 <启动单点登录 URL> 值。
    onelogin.saml2.idp.entityid 更新 < 颁发者标识 > 值。
    onelogin.saml2.idp.x509cert 更新您已记录的 X.509 证书的单行字符串值。
    onelogin.saml2.sp.assertion_consumer_service.url 使用 <ASE url>/api/saml 的值更新此值。
    onelogin.saml2.sp.entityid 使用 <ASE url>/api/metadata.jsp 的值更新此值。
  13. 更新 onelogin.saml.properties 文件后,保存并关闭该文件。

结果

PingFederate 令牌证书和 SAML 属性便在 SAML 属性文件中更新完毕。

下一步做什么

现在,您必须在 PingFederate 中分配用户,并提供对 AppScan Enterprise 应用程序服务提供者的 SSO 登录访问权。