使用 SAML 进行身份验证
您可以配置 SAML 身份验证,以便 Tenable Identity Exposure 用户在登录 Tenable Identity Exposure 时可以使用身份验证提供商发起的单点登录 (SSO)。
开始之前
-
查看“Tenable SAML 配置快速参考”指南,了解有关如何配置 SAML 以与 Tenable Identity Exposure 一起使用的分步指南。
-
检查身份验证提供商 (IDP) 是否满足以下条件:
-
仅限 SAML v2。
-
已启用“断言加密”。
-
具备 Tenable Identity Exposure 用于在 Tenable Identity Exposure Web 门户中授予访问权限的 IDP 组。
-
拥有 SAML 服务器的 URL。
-
以 PEM 编码格式签署 SAML 服务器证书的受信任证书颁发机构 (CA),以“-----BEGIN CERTIFICATE -----”开头,以“-----END CERTIFICATE -----”结尾。
-
配置 SAML 身份验证的步骤:
-
在 Tenable Identity Exposure 中,点击“系统”>“配置”,
此时会出现配置窗格。
-
在“身份验证”部分下,点击“SAML 单点登录”。
-
点击“启用 SAML 身份验证”切换开关。
此时会出现一个 SAML 信息表单。
-
提供以下信息:
-
在“SAML 服务器的 URL”框中,输入 Tenable Identity Exposure 必须连接的 IDP SAML 服务器的完整 URL。
-
在“受信任的证书颁发机构”框中,粘贴从 SAML 服务器签署证书的 CA。
-
-
在“Tenable Identity Exposure 证书”框中,单击“生成并下载”。这会生成新的自签名证书、更新数据库中的 SAML 配置,并返回新证书以供下载。
注意:当您单击此按钮时,它会中断 SAML 配置,因为 Tenable Identity Exposure 预期 IDP 会在 IDP 仍在使用以前的证书(如果存在)时立即使用最近生成的证书进行认证。如果生成新的 Tenable Identity Exposure 证书,则必须重新配置 IDP 以使用新证书。
-
在首次登录 SAML 后,点击“自动激活新用户帐户”切换开关来激活新用户帐户。
-
在 Tenable Identity Exposure 端点下,提供以下信息:
-
Tenable Identity Exposure 服务提供商的网址
-
确定 Tenable Identity Exposure 服务提供商的端点
-
-
在“默认配置文件和角色”部分下,点击“添加 SAML 组”,以便指定允许身份验证的组。
此时会出现一个 SAML 组信息表单。
-
提供以下信息:
-
在“SAML 组名”框中,输入在 SAML 服务器中显示的允许的组的名称。
-
在“默认配置文件”下拉框中,为允许的组选择配置文件。
-
在“默认角色”框中,为允许的组选择角色。
-
-
如有必要,单击“+”图标,添加新的允许的组。
-
单击“保存”。
设置 SAML 身份验证后,SAML 选项会显示在登录页面的选项卡中。
有关安全配置文件和角色的更多信息,请参阅: