更新 SAML 的 Okta 記號憑證和自訂內容
當您搭配 Okta 服務配置 AppScan Enterprise 時,必須將相關聯的單一登入、發證者 URL 及記號憑證新增至 SAML 內容。
開始之前
- 您具有的使用者必須有權存取 AppScan Enterprise 安裝資料夾。
- 您必須是 Okta 管理員。
- 在 AppScan Enterprise 中,您必須已將 Okta 配置為 SAML 的 IdP。請參閱啟用 SAML 服務提供者。
執行這項作業的原因和時機
SAML-SSO 鑑別的整個程序會根據這些 IdP 實體 URL,在 SP 與 IdP 之間進行驗證。單一登入 URL 是用於存取 Okta 應用程式的 IdP URL,您可以從這裡登入 AppScan Enterprise 應用程式 SP;發證者 URL 是 SP 透過其識別 SAML 主張之 IdP 的唯一 URL,而在 AppScan Enterprise 應用程式整合期間所產生的 SAML 記號簽章者憑證,則是 IdP 與 SAML 服務提供者建立信任,以交換鑑別要求的基礎。
本節說明如何使用 Okta 自訂內容和 SAML 記號簽章者憑證來更新 SAML 內容。
程序
- 登入您的 Okta 帳戶。
-
在種類功能表下,按一下 應用程式。
這時會顯示與 Okta 帳戶整合的應用程式清單。
-
按一下此清單中的 AppScan Enterprise 應用程式。
這時會顯示 AppScan Enterprise 應用程式配置頁面。
- 按一下登入標籤。
-
按一下設定區段下的視圖設定指示。
註: 只有在第一次在 Okta 中設定 AppScan Enterprise 應用程式時,才會顯示此項。不過,稍後您可以使用編輯選項,來修改或變更配置。您可以在顯示的視圖設定指示頁面中檢視 IdP 所產生的下列內容值:
- 身分提供者單一登入 URL
- 身分提供者發證者
- X.509 憑證
-
將對應於其中每一個內容的值複製到記事本。
註: 在複製 x.509 憑證資訊之前,您必須將憑證資料轉換成單行字串格式。提示:您可以使用 HTTPs://www.samltool.com/format_x509cert.php 工具,將憑證資料轉換成不同的格式,例如單行字串格式。
- 移至已安裝 AppScan Enterprise 應用程式的伺服器。
- 導覽至安裝 AppScan Enterprise 軟體套件之安裝目錄中的配置檔資料夾。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config。
- 在文字編輯器中找出並開啟 SAML 配置內容檔,即 onelogin.saml.properties。
-
使用您從 Okta 視圖設定指示頁面中所記下的產生值,來更新 SAML 配置內容檔 onelogin.saml.properties 中的下列自訂內容。
SAML 內容 要更新的內容值 onelogin.saml2.idp.single_sign_on_service.url 更新身分提供者單一登入 URL 值。 onelogin.saml2.idp.entityid 更新身分提供者發證者值。 onelogin.saml2.idp.x509cert 更新您已記下之 x.509 憑證的單行字串值。 onelogin.saml2.sp.assertion_consumer_service.url 使用此值來編輯這些參數 <ASE url>/api/saml onelogin.saml2.sp.entityid 使用此值來編輯這些參數 <ASE url>/api/metadata.jsp - 更新 onelogin.saml.properties 檔案之後,請儲存並關閉它。