使用 SAML 进行身份验证

您可以配置 SAML 身份验证,以便 Tenable Identity Exposure 用户在登录 Tenable Identity Exposure 时可以使用身份验证提供商发起的单点登录 (SSO)。

开始之前:

  • 查看“Tenable SAML 配置快速参考”指南,了解有关如何配置 SAML 以与 Tenable Identity Exposure 一起使用的分步指南。

  • 检查身份验证提供商 (IDP) 是否满足以下条件:

    • 仅限 SAML v2。

    • 已启用“断言加密”。

    • 具备 Tenable Identity Exposure 用于在 Tenable Identity Exposure Web 门户中授予访问权限的 IDP 组。

    • 拥有 SAML 服务器的 URL。

    • 以 PEM 编码格式签署 SAML 服务器证书的受信任证书颁发机构 (CA),以“-----BEGIN CERTIFICATE -----”开头,以“-----END CERTIFICATE -----”结尾。

配置 SAML 身份验证的步骤:

  1. Tenable Identity Exposure 中,点击“系统”>“配置”,

    此时会出现配置窗格。

  2. 在“身份验证”部分下,点击“SAML 单点登录”。

  3. 点击“启用 SAML 身份验证”切换开关。

    此时会出现一个 SAML 信息表单。

    SAML 配置

  4. 提供以下信息:

    • 在“SAML 服务器的 URL”框中,输入 Tenable Identity Exposure 必须连接的 IDP SAML 服务器的完整 URL。

    • 在“受信任的证书颁发机构”框中,粘贴从 SAML 服务器签署证书的 CA。

  1. 在“Tenable Identity Exposure 证书”框中,单击“生成并下载”。这会生成新的自签名证书、更新数据库中的 SAML 配置,并返回新证书以供下载。

    注意:当您单击此按钮时,它会中断 SAML 配置,因为 Tenable Identity Exposure 预期 IDP 会在 IDP 仍在使用以前的证书(如果存在)时立即使用最近生成的证书进行认证。如果生成新的 Tenable Identity Exposure 证书,则必须重新配置 IDP 以使用新证书。

  2. 在首次登录 SAML 后,点击“自动激活新用户帐户”切换开关来激活新用户帐户。

  3. Tenable Identity Exposure 端点下,提供以下信息:

    • Tenable Identity Exposure 服务提供商的网址

    • 确定 Tenable Identity Exposure 服务提供商的端点

  1. 在“默认配置文件和角色”部分下,点击“添加 SAML 组”,以便指定允许身份验证的组。

    此时会出现一个 SAML 组信息表单。

  2. 提供以下信息:

    • 在“SAML 组名”框中,输入在 SAML 服务器中显示的允许的组的名称。

    • 在“默认配置文件”下拉框中,为允许的组选择配置文件。

    • 在“默认角色”框中,为允许的组选择角色。

  1. 如有必要,点击 图标,添加新的允许的组。

  2. 单击“保存”。

    设置 SAML 身份验证后,SAML 选项会显示在登录页面的选项卡中。

有关安全配置文件和角色的更多信息,请参阅: