为 SAML 更新 PingFederate 令牌证书和定制属性
为 AppScan Enterprise 配置 PingFederate 服务时,您必须将相关联的单点登录、颁发者 URL 和令牌证书添加到 SAML 属性。
开始之前
- 您必须是 AppScan Enterprise 管理员才能配置 PingFederate 身份提供者 (IdP)。
- 您的帐户必须具有对 PingFederate 应用程序的管理访问特权。
- 您必须已将 PingFederate 配置为 AppScan Enterprise 中的 SAML IdP。请参阅启用 SAML 服务提供者。
关于此任务
为 SP 配置 IdP 时,IdP 会生成 SP 在 SAML 断言期间识别的唯一实体 URL。这些实体 URL 中的每一个都包含有关 IdP 属性的信息,从 IdP 收到用户认证请求时 SP 将在 SAML 断言期间识别并验证这些信息。您必须在 SAML 属性文件中输入这些实体 URL 值,才能启用 SAML 识别过程。
本部分说明如何使用 PingFederate 定制属性和 SAML 令牌签名者证书来更新 SAML 属性。过程
-
通过在浏览器中使用 PingFederate URL 打开 PingFederate 应用程序页面。
此时将显示 PingFederate 登录页面。
-
以管理员身份登录到 PingFederate 帐户。
此时将显示“PingFederate 仪表板”页面。
-
单击连接菜单。
您已配置的 AppScan Enterprise 应用程序将显示在连接页面中的应用程序部分下。
-
单击“AppScan Enterprise 应用程序”。
例如:ASE-SSO。此时将显示“AppScan Enterprise 应用程序配置”页面。
-
单击配置选项卡。
此时将显示 PingFederate 为 SAML-SSO 属性生成的以下元数据。
- 颁发者标识
- 启动单点登录 URL
- X.509 证书(供下载)
-
单击下载。
将以 XML 格式下载该证书。
-
打开证书 XML 文件并复制证书数据。
注: 在复制证书数据之前,您必须将 X.509 证书数据转换为单行字符串格式。提示:您可以使用 https://www.samltool.com/format_x509cert.php 工具将证书数据转换为不同格式,例如单行字符串格式。
- 将与这些属性对应的所有这些元数据值复制到记事本中。
- 转到安装了 AppScan Enterprise 应用程序的服务器。
- 导航至安装了 AppScan Enterprise 软件包的安装目录中的配置文件文件夹。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config。
- 找到并在文本编辑器中打开 SAML 配置属性 onelogin.saml.properties 文件。
-
您必须使用已记录的元数据值更新 SAML 配置属性文件 onelogin.saml.properties 中的以下定制属性。
SAML 属性 要更新的属性值 onelogin.saml2.idp.single_sign_on_service.url 更新 <启动单点登录 URL> 值。 onelogin.saml2.idp.entityid 更新 < 颁发者标识 > 值。 onelogin.saml2.idp.x509cert 更新您已记录的 X.509 证书的单行字符串值。 onelogin.saml2.sp.assertion_consumer_service.url 使用 <ASE url>/api/saml 的值更新此值。 onelogin.saml2.sp.entityid 使用 <ASE url>/api/metadata.jsp 的值更新此值。 - 更新 onelogin.saml.properties 文件后,保存并关闭该文件。