更新 SAML 的 PingFederate 記號憑證和自訂內容
當您搭配 PingFederate 服務配置 AppScan Enterprise 時,必須將相關聯的單一登入、發證者 URL 及記號憑證新增至 SAML 內容。
開始之前
- 您必須是 AppScan Enterprise 管理員,才能配置 PingFederate 身分提供者 (IdP)。
- 您的帳戶必須具有 PingFederate 應用程式的管理存取權。
- 在 AppScan Enterprise 中,您必須已將 PingFederate 配置為 SAML 的 IdP。請參閱啟用 SAML 服務提供者。
執行這項作業的原因和時機
當您搭配 SP 配置 IdP 時,您的 SP 在 SAML 主張期間所識別的 IdP 會產生唯一實體 URL。其中每一個實體 URL 都包含 IdP 內容的相關資訊,SP 會在 SAML 主張期間,從 IdP 接收使用者鑑別要求時識別及驗證這些內容。您必須在 SAML 內容檔中輸入這些實體 URL 值,才能啟用 SAML 識別程序。
本節說明如何使用 Okta 自訂內容和 SAML 記號簽章者憑證來更新 SAML 內容。程序
-
在瀏覽器中使用 PingFederate URL 來開啟 PingFederate 應用程式頁面。
這時會顯示 PingFederate 登入頁面。
-
以管理員身分登入 PingFederate 帳戶。
這時會顯示「PingFederate 儀表板」頁面。
-
按一下連線功能表。
您已配置的 AppScan Enterprise 應用程式會顯示在連線頁面的應用程式區段下。
-
按一下 AppScan Enterprise 應用程式。
例如:ASE-SSO。這時會顯示 AppScan Enterprise 應用程式配置頁面。
-
按一下配置標籤。
這時會顯示 PingFederate 針對 SAML-SSO 內容所產生的下列 meta 資料。
- 發證者 ID
- 起始單一登入 URL
- X.509 憑證(用於下載)
-
按一下下載。
這時會以 XML 格式下載憑證。
-
開啟憑證 XML 檔案,然後複製憑證資料。
註: 在複製憑證資料之前,您必須將 x.509 憑證資料轉換成單行字串格式。提示:您可以使用 HTTPs://www.samltool.com/format_x509cert.php 工具,將憑證資料轉換成不同的格式,例如單行字串格式。
- 將對應於其中每一個內容的所有這些 meta 資料值複製到記事本。
- 移至已安裝 AppScan Enterprise 應用程式的伺服器。
- 導覽至安裝 AppScan Enterprise 軟體套件之安裝目錄中的配置檔資料夾。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config。
- 在文字編輯器中找出並開啟 SAML 配置內容檔,即 onelogin.saml.properties。
-
您必須以您記下的 meta 資料值,來更新 SAML 配置內容檔 onelogin.saml.properties 中的下列自訂內容。
SAML 內容 要更新的內容值 onelogin.saml2.idp.single_sign_on_service.url 更新 <起始單一登入 URL> 值。 onelogin.saml2.idp.entityid 更新 <發證者 ID> 值。 onelogin.saml2.idp.x509cert 更新您已記下之 x.509 憑證的單行字串值。 onelogin.saml2.sp.assertion_consumer_service.url 以 <ASE url>/api/saml 的值更新此值。 onelogin.saml2.sp.entityid 以 <ASE url>/api/metadata.jsp 的值更新此值。 - 更新 onelogin.saml.properties 檔案之後,請儲存並關閉該檔案。