在此页:
目标用户:
CAST AI 管理员
简介:这个页面解释了如何在使用Apache Tomcat时配置CAST AIP web应用以使用SAML身份验证。
支持SAML身份验证的web应用
以下CAST AIP web应用支持通过SAML进行用户身份验证:
支持的SAML版本
| 版本 | 支持 |
|---|---|
| 2.0 |  |
| 1.1 |  |
| 1.0 | |
前提条件
在配置CAST AIP web应用以使用SAML身份验证之前,必须具备以下前提条件:
部署和运行CAST AIP web应用 | 在继续之前,必须部署和运行CAST AIP web应用。特别是必须确保已经配置了角色和数据授权。 |
|---|---|
| 为HTTPS配置的Apache Tomcat | Apache Tomcat主机服务器和任何CAST AIP web应用都必须配置为使用HTTPS协议。参见为CAST Web应用配置使用Tomcat的安全https协议 获得更多信息。 |
| FederationMetadata.xml | 此文件必须由您的IT管理员提供,然后才能继续。 |
| 密钥对生成 | 必须在专用密钥存储库中的Apache Tomcat主机服务器上生成公用/个人密匙对,以允许与Active Directory Federation server (ADFS)进行加密通信。有关更多信息,请参见下面。 |
初始配置过程
FederationMetadata.xml
必须请求来自IT管理员的FederationMetadata.xml文件。当收到该文件时,应该将其存储在Apache Tomcat安装位置中一个可以从CAST AIP web应用访问的位置。例如:
Windows: D:/apache-tomcat/conf/FederationMetadata.xml Linux: file:/opt/apache-tomcat/conf/FederationMetadata.xml
密匙对生成
必须在专用密钥存储库中的Apache Tomcat主机服务器上生成公用/个人密匙对,以允许与Active Directory Federation server (ADFS)进行加密通信。这个密钥库应该特定于SAML配置。为此需要在运行web应用服务器的工作站上使用keytool命令行实用程序(与JRE一起提供,请参见https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html 获得更多信息)。例如:
%JAVA_HOME%\keytool -genkeypair -alias <some-alias> -keyalg RSA -keypass <changeit> -keystore <samlKeystore.jks>
地点:
| -alias | 选择特定于密钥对的别名。 |
|---|---|
| -keypass | 这配置了一个密码,用于保护生成的密钥对的个人密匙。该值必须至少为6个字符。 |
| -keystore | 选择要存储密钥对的密钥存储库位置,例如: Windows: D:/apache-tomcat/conf/samlKeystore.jks Linux: /opt/apache-tomcat/conf/samlKeystore.jks |
激活并配置CAST AIP web应用中的身份验证模式
SAML身份验证模式的激活和配置由CAST AIP web应用中的security.properties配置文件。
%CATALINA_HOME%\webapps\<deployed_war_file>\WEB-INF\security.properties
激活SAML身份验证模式
要激活SAML身份验证模式,请更改以下行。例如要将默认身份验证安全模式更改为SAML,请执行以下操作。变化:
security.mode=default
到:
security.mode=saml
保存security.properties文件。
配置SAML身份验证模式
在 security.properties配置文件中找到SAML 参数部分,并修改每个未注释的行以匹配已经配置的项:
- FederationMetadata.xml 文件的位置
- 组属性的名称(如果security.properties不符合要求,请与IT管理员讨论)
- 之前创建的密钥存储库的位置
- 之前创建的keystore别名
- 之前创建的密钥存储库密码
# Parameters for saml mode # ------------------------ # idp metadata file security.saml.idp.metadata.location=file:/opt/apache-tomcat/conf/FederationMetadata.xml # attribute name for group in saml response security.saml.idp.metadata.group.attribute.name=http://schemas.xmlsoap.org/claims/Group # Key store path security.saml.keystore.path=file:/opt/apache-tomcat/conf/samlKeystore.jks # key store password security.saml.keystore.password=changeit # Key alias security.saml.key.alias=somealias # Key password security.saml.key.password=changeit
保存security.properties 文件。
重启 Apache Tomcat
现在重新启动Apache Tomcat服务器,使更改生效。
生成e spring_metadata
当成功重启Apache Tomcat主机服务器时,请浏览以下URL以生成spring_metadata:
https://tomcat/<deployed_war_file>/saml/metadata
这将下载一个名为spring_saml_metada .xml的文件。将此文件发送给您的IT管理员,将在ADFS中注册该文件,从而允许用户登录到web应用。
提示
- 当配置SAML模式时,CAST 健康仪表盘、工程仪表盘和RestAPI中static/default.html页中的“登录”按钮将失效:此按钮仅配置为使用基本身份验证。如果需要使用static/default.html页面中提供的任何选项(所有选项都需要登录),则必须确保以常规方式登录仪表盘,然后在浏览器中访问static/default.html页面。
- ADFS非常敏感:如果设置不正确,身份验证将失败。