配置 GravityZone 基于AD FS的云单点登录

GravityZone GravityZone Cloud支持与采用SAML 2.0认证标准的各类身份提供商（IdP）实现单点登录（SSO）。

本文介绍如何配置 GravityZone Cloud与AD FS的单点登录。如需配置其他身份提供商的通用信息，请参阅使用第三方身份提供商配置单点登录 .

前提条件与要求

您需要拥有 GravityZone Cloud管理员账户来管理用户、本公司及下属公司。
已配置Active Directory实例，且用户账户邮箱地址需与 GravityZone .
AD FS服务需完成完整安装与配置。
需持有AD FS的有效SSL证书及其指纹信息。

重要说明

作为 GravityZone 管理员，您可为本公司及下属公司用户配置单点登录。出于安全考虑，您无法为自身 GravityZone 账户启用SSO功能。
用户必须隶属于已启用SSO的公司。SSO激活期间，用户无法使用 GravityZone 凭证登录。
邮箱地址在 GravityZone SSO中区分大小写。因此username[at]company.domain与UserName[at]company.domain及USERNAME[at]company.domain视为不同地址。若 GravityZone 中的邮箱地址与身份提供商不匹配，用户登录控制中心时将收到错误提示 .

配置 GravityZone 云单点登录

要为单点登录配置AD FS，需执行以下操作：

添加信赖方信任

GravityZone 与AD FS之间的连接通过信赖方信任定义。登录已安装AD FS的服务器。

启动
AD FS管理 应用程序。 选择
信任关系 > 信赖方信任。 .
添加信赖方信任… 。 .
添加信赖方信任向导 窗口中，按以下步骤操作： 在
1. 欢迎 页面点击 开始。 .
2. 选择数据源 页面：
  1. 选择选项 导入在线或本地网络发布的依赖方数据 .
  2. 在 联合元数据地址（主机名或URL）框 中，输入服务提供商的地址： https://gravityzone.bitdefender.com/sp/metadata.xml
  3. 点击 下一步 .
3. 在 指定显示名称 页面，输入服务提供商名称（ gravityzone.bitdefender.com ）并点击 下一步 .
4. 在 现在配置多因素认证？ 页面，选择选项 此时我不想为此依赖方信任配置多因素认证设置 并点击 下一步 .
5. 在 选择颁发授权规则 页面，选择选项 允许所有用户访问此依赖方 并点击 下一步 .
  
  注意
  
  此时您无需为单点登录单独配置用户访问权限，因为您将通过 GravityZone 控制中心 .
6. 在 准备添加信任 页面：
  1. 转到终端选项卡，确认以下地址已添加：
    
    SAML断言消费终端： https://gravityzone.bitdefender.com/sp/login ，绑定方式为 POST .
    
    SAML注销终端： https://gravityzone.bitdefender.com/sp/logout ，绑定方式为 重定向 .
  2. 点击 下一步 .
7. 在完成页面，勾选选项 向导关闭时打开此信赖方信任的编辑声明规则对话框 .
点击关闭 .

创建声明规则

添加信赖方信任后，需创建声明规则。 编辑声明规则 窗口将在信任创建后自动打开。

点击 添加规则 以创建新规则。
在 添加转换声明规则向导 中，按以下步骤操作：
1. 在 选择规则类型 页面，选择模板 将LDAP属性作为声明发送 并点击 下一步 .
2. 在 配置声明规则 页面，进行如下配置：
  1. 在 声明规则名称 框中输入相关名称（例如 电子邮件 ).
  2. 对于 属性存储 ，选择 Active Directory .
  3. 在下方表格中， LDAP 属性（选择或输入以添加更多） 下，选择 电子邮件地址 .
  4. 在 传出声明类型（选择或输入以添加更多） 下，选择 电子邮件地址 .
  5. 点击完成 .
返回 编辑声明规则 窗口，点击 添加规则 以创建新规则。
在 添加转换声明规则向导 中，按以下步骤操作：
1. 在 选择规则类型 页面，选择模板 转换传入声明 并点击 下一步 .
2. 在 配置声明规则页面 上，进行以下配置：
  1. 在 声明规则名称框 中，输入相关名称（例如，转换 ).
  2. 对于 传入声明类型 ，选择 电子邮件地址 .
  3. 对于 传出声明类型 ，选择 名称ID .
  4. 对于 传出名称ID 格式，选择 电子邮件 .
  5. 选中 传递所有声明值 .
  6. 点击完成 .
点击应用并确定 .

更新证书

AD FS默认配置为使用有效期为非闰年（365天）的自签名证书。到期后，可通过元数据URL自动或手动更新证书。

自动证书更新

若AD FS中启用了自动证书轮换功能，证书将自动更新。这意味着AD FS会监控依赖方信任的变化（包括证书变更），并在需要时进行更新。

在AD FS服务器上启用监控功能：

打开 管理工具 然后启动 AD FS管理 应用程序（或运行 mmc.exe ).
在左侧菜单中，导航至 信任关系 > 依赖方信任 .
在中央面板中，右键单击 GravityZone ( gravityzone.bitdefender.com ）对应的条目，选择属性 .

在监控选项卡中，确保 GravityZone SAML元数据URL（https://gravityzone.bitdefender.com/sp/metadata.xml）已显示。
勾选 监视依赖方 和 自动更新依赖方 复选框。
点击应用，然后确定 .

AD FS将开始每隔24小时监测依赖方信任关系的变更。

手动更新证书

要通过 GravityZone SAML元数据URL手动更新AD FS服务器上的证书：

打开 管理工具 中的 AD FS管理 应用程序（或运行mmc.exe）。
在左侧菜单中，导航至 信任关系 > 依赖方信任 .
在中央面板中，右键点击对应 GravityZone ( gravityzone.bitdefender.com ）的条目并选择属性 .
在监控选项卡中，确保 GravityZone SAML元数据URL（https://gravityzone.bitdefender.com/sp/metadata.xml）已显示。若未显示，请输入元数据URL并点击 测试URL ，等待验证完成。
点击确定 .
关闭属性窗口。
仍在 信任关系 界面时，右键点击 GravityZone (gravityzone.bitdefender.com)对应的条目并选择 从联合元数据更新 .
在 标识符 选项卡中点击更新 .
转到加密与签名选项卡并检查生效和过期日期。

更新证书后，请验证通过SSO的登录是否正常工作。

在 GravityZone

配置身份提供商后，前往 GravityZone 控制中心为公司启用SSO并更改用户的身份验证方法。只有在启用SSO的公司下的用户才有选择通过身份提供商登录的选项。

为您的公司启用SSO

以下是您为公司启用SSO的方法：

在控制中心右上角点击用户图标，然后选择 我的公司 .
在 身份验证 选项卡下， 使用SAML的单点登录 部分，在相应字段中输入身份提供商元数据URL。另一个字段是为 GravityZone 元数据URL保留的，不可编辑。

对于AD FS，身份提供商元数据URL的格式为： https://[:adfs_host]/FederationMetadata/2007-06/FederationMetadata.xml ，其中 [:adfs_host] 为服务FQDN。
点击保存 .

更改用户的认证方式

为公司启用SSO后， GravityZone 该公司的用户账户即可更改其认证方式。

您可以逐个更改用户的认证方式，步骤如下：

登录 GravityZone 控制中心 .
通过左侧菜单进入账户页面。
在表格中点击用户名。
在 登录安全 下，前往 认证方式 并选择 通过身份提供者登录 .
点击保存 .

您可以为任意数量的 GravityZone 用户数量不限，但不可用于您自己的管理员账户。

注意

若某 GravityZone 用户账户的配置页面未显示 设置与权限 部分，则可能该公司未启用SSO功能。

测试 GravityZone 单点登录

完成身份提供商与 GravityZone 的配置后，可按以下步骤测试单点登录：

从 GravityZone .
从AD FS注销。
访问 https://gravityzone.bitdefender.com/ .
输入为测试创建的有效邮箱地址（非您的 GravityZone 管理员账户邮箱）。
点击 下一步 .

系统应跳转至身份提供商认证页面。
通过身份提供商完成认证。

您将被重定向回 GravityZone 片刻之后，您应会自动登录到控制中心 .

禁用 GravityZone 单点登录

若要为您的公司或您管理的公司禁用单点登录：

从该公司配置页面删除身份提供者元数据URL。
点击保存并确认操作。

用户可通过点击 重置密码 选项（位于控制中心登录页面）并按照指引获取新密码。

若要重新启用 GravityZone 单点登录功能，请在该公司配置页面重新输入身份提供者信息并点击保存 .

重新启用单点登录后，该公司下的用户仍将使用控制中心的 GravityZone 凭据登录。您需要逐个手动配置每个账户，才能再次通过身份提供者登录。

本节内容 :