配置标识提供程序

先决条件配置服务提供程序

此部分介绍如何通过完成“标识提供程序注册”步骤来配置 IdP。

概述

配置 IdP 之前,请考虑以下内容:

  • 确保首先配置默认的 alm IdP。

  • 在添加其他 IdP 之前,确保 alm IdP 已成功验证,并且已启用 SSO。有关详细信息,请参阅验证标识提供程序并启用 SSO

  • 完成 IdP 的“标识提供方注册”步骤后,配置文件将保存在以下存储库中:

    {存储库}\sa\DomsInfo\osp\<idp 名称>.properties

返回页首

基本属性

在“标识提供程序注册”>“基本属性”选项卡中,完成以下配置:

字段 描述

联合身份验证协议

选择 OpenText Application Quality Management 将用于与 IdP 通信的联合身份验证协议 (SAML2 或 OIDC)。

OIDC 协议要求服务器应与 IdP 建立网络连接。
名称 ID 格式

仅当您选择 SAML2 作为联合身份验证协议时,该选项才可用。

IdP 支持的名称 ID 格式。
IDP 元数据可用

仅当您选择 SAML2 作为联合身份验证协议时,该选项才可用。

真实的 IdP 元数据是否可与 SP 共享。

  • 否。如果尚未获取 IdP 元数据,请选择“否”。将向 SP 提供临时的模拟 IdP 元数据,以便系统可以启动服务并加载 SP 元数据。

    获取真实的 IdP 元数据后,将值更改为“是”,为元数据提供 URL 或 XML 文本,然后重新启动服务器。

  • 是。如果已获取 IdP 元数据,请选择“是”。为元数据提供 URL 或 XML 文本。
IDP 元数据配置模式

仅当您在“IDP 元数据可用”字段中选择“是”时可用。

  • 输入元数据 URL如果选择此选项,请输入 IdP 元数据 URL。

    仅当服务器可以访问 IdP 元数据 URL 时选择此选项。

  • 输入/上传元数据内容。如果选择此选项,请从 IdP 手动输入 SAML 元数据描述符的纯文本 XML,或单击上传图标上传元数据文件。

    如果无法从服务器访问 IdP 元数据 URL,则选择此选项。

OpenID 颁发者

OpenID 客户端 ID

OpenID 客户端密钥

仅当您选择 OIDC 作为联合身份验证协议时,才可用且是必填的。

提供颁发者、客户端 ID 和客户端密钥。当您创建将 OIDC 用作 IdP 中的协议的客户端时,需要指定这些项。

限制: 建议您为 OpenID 客户端使用简单的名称。否则,SSO 验证将失败。

启用单点注销

该选项控制是否支持单点注销。如果在启用 SSO 之后更改此选项的值,则重新启动服务器以使更改生效。

  • 是。启用单点注销功能。启用后,将发生以下情况:

    • 指向单点注销的链接将显示在 Application Lifecycle Management“选项”窗口的右下角。当 IdP 用户单击链接时,用户从 IdP 注销,并且窗口将显示会话退出消息以关闭所有会话。
    • 当 IdP 用户单击桌面客户端中的“关闭项目”时,将弹出一个窗口,以确认用户是要从 IdP 单点注销还是只想关闭项目。如果用户单击“否”或“X”来关闭确认窗口,则用户只是关闭了项目,在 IdP 会话中仍保持活动状态。如果用户单击“是”,则 IdP 和客户端中的会话都会关闭,而同一用户的其他连接 (如果有) 继续运行,直到其访问令牌到期为止。
    • 当 IdP 用户单击“站点管理”中的“注销”时,该用户从 IdP 中注销,然后自动关闭“站点管理”并清除所有会话,而同一用户的其他连接 (如果有) 继续运行,直到其访问令牌到期为止。
  • 否。禁用单点注销功能。当 IdP 用户从页面注销时,该用户的会话仍在 IdP 中处于活动状态。

注: 仅 SAML 支持单点注销,由于 OIDC 的限制,OIDC 不支持单点注销。

返回页首

属性映射

在“标识提供方注册”>“属性映射”选项卡中,将 IdP 用户属性映射到 OpenText Application Quality Management 用户属性。

字段 描述

标识密钥

标识密钥是一个唯一属性,用于区分用户并防止创建重复的用户帐户,确保基于此值唯一地标识每个用户。

将适当的唯一值 (例如用户名和电子邮件) 从您的 IdP 映射到标识密钥。

ALM 用户名

“ALM 用户名”属性是用于登录的唯一属性。

将 IdP 中适当的唯一属性映射到 ALM 用户名。

ALM 用户电子邮件

“ALM 用户电子邮件”存储用户的电子邮件。

将 IdP 的适当电子邮件属性映射到 ALM 用户电子邮件。

ALM 用户电话

“ALM 用户电话”存储用户的电话号码。

将适当的 IdP 用户属性映射到 ALM 用户电话。

ALM 用户全名

“ALM 用户全名”存储用户的全名。

将适当的 IdP 用户属性映射到 ALM 用户全名。

ALM 用户描述

将适当的 IdP 用户属性映射到 ALM 描述。
标识密钥区分大小写

控制 IdP 提供的标识密钥在用户授权期间是否应以区分大小写的方式匹配。

  • 是。区分大小写。
  • 否。不区分大小写。

返回页首

用户自动配置

在“标识提供方注册”>“用户自动配置”选项卡中,配置是否启用用户自动配置以更新或创建匹配的 OpenText Application Quality Management 用户。

字段 描述

用户信息自动更新

此选项控制是否使用 IdP 用户的已映射用户属性自动更新匹配的 OpenText Application Quality Management 用户的用户属性。

根据您在用于匹配现有 ALM 用户的属性中选择的属性查找匹配的用户。

  • 如果打开此开关,匹配的用户信息会自动更新。

  • 如果关闭此开关,匹配的用户信息不会自动更新。

用于匹配现有 ALM 用户的属性

仅当启用“用户信息自动更新”时可用。

选择用于将 IdP 用户与现有 OpenText Application Quality Management 用户匹配的一个或多个 ALM 用户属性。

找到唯一一个匹配的用户,如下所示:

  • 第一个选定属性用于查找匹配的用户,如果仅找到一个匹配的用户,则将标识密钥和标识 ID 信息附加到该用户。
  • 如果找到了多个匹配的用户,则系统继续使用第二个选定属性来筛选匹配用户,然后继续该过程,直到仅找到一个匹配用户为止。
  • 如果系统按所有选定属性筛选用户后仍未找到一个匹配的用户,则系统会检查是否根据“用户自动生成”设置来为 IdP 用户创建新的 OpenText Application Quality Management 用户。
用户自动生成

此选项控制是否根据 IdP 用户的用户属性自动创建 OpenText Application Quality Management 用户。

映射到 ALM 用户名的属性

仅当启用“用户自动生成”时可用。

选择以下属性之一作为新 OpenText Application Quality Management 用户的默认用户名:

  • IdentityKey。创建用户时,IdentityKey 值作为用户名。

  • ALMUsername。创建用户时,ALMUsername 值用作用户名。

  • ALMEmail。创建用户时,ALMEmail 值用作用户名。

注: 如果目标字符串包含任何特殊字符,例如 @,在创建用户名时它们会被转换为下划线 (_)。

默认 ALM 用户名可编辑

仅当启用“用户自动生成”时可用。

此选项控制新 OpenText Application Quality Management 用户是否可以在用户创建期间更改其默认用户名。

发送通知

仅当启用“用户自动生成”时可用。

此选项控制在以下情况下是否向相关用户发送电子邮件通知:

  • 在用户自动配置期间创建新用户时,此选项控制是否向新用户和指定的站点管理员用户发送通知。
  • 当 IdP 用户访问 SSO 验证 URL 来验证 IdP 时,此选项控制是否向指定的站点管理员用户发送通知。

  • 当 SSO 证书即将到期时,此选项控制是否向指定的站点管理员用户发送通知。

自动配置通知列表

仅当启用“发送通知”时可用。

指定接收通知的站点管理员用户的用户名。

返回页首

组件准备

在“标识提供程序注册”>“组件准备”选项卡中,按照屏幕上的说明部署 SP 并获取 SP 元数据。

返回页首

接下来的步骤: