设置 SAML 2.0 支持 › 单点登录中的 SAML 2.0 支持 › SAML 2.0 的单点登录支持的工作方式

SAML 2.0 的单点登录支持的工作方式

使用单点登录的通常 CA Performance Center 身份验证过程不同于利用 SAML 2.0 支持的身份验证。 使用 SAML 2.0 身份验证，用户不会看到 CA Performance Center 登录页。 相反，他们会重定向到 IdP 提供的界面。 对于所有其他支持的身份验证方法，单点登录提供登录页。

下图说明使用单点登录、CA Performance Center 以及支持 SAML 2.0 标准的 IdP（如 CA SiteMinder）的 SAML 2.0 身份验证过程：

以下常规过程说明 CA Performance Center 如何支持 SAML 2.0 身份验证。 特定于实施的选项（如数字签名证书和传输绑定）已省略：

1. 用户尝试访问 CA Performance Center，例如通过导航至 http://mycapchost:8181/pc/desktop/page。
2. CA Performance Center 以来自身份提供商 (IdP) 的 SAML 身份验证请求作为响应。
3. 浏览器处理请求，并联系在 IdP 服务器上运行的身份验证软件。
4. IdP 确定用户是否具有现有的登录安全性上下文－无论用户是否已登录。
5. 如果用户未登录，IdP 将使用特定于实施的方式对用户进行身份验证。

   例如，IdP 可能与浏览器交互以要求用户提供凭据。 身份验证的此阶段与 CA 单点登录无关。

6. IdP 构建表示用户登录安全性上下文的 SAML 声明并将其发送到浏览器。

   声明包括必要属性 subjectNameId 和可选属性 ClonedUser。

   subjectNameId 的值对应于授权用户。

   您可以将克隆用户帐号的名称包含在声明中。 该属性定义已授权 SAML 用户映射到的用户帐户。

7. 浏览器将 SAML 声明发送到 CA Performance Center。
8. CA Performance Center 获得声明并对其进行处理。
9. 如果声明有效，CA Performance Center 将为用户建立会话。 浏览器将重定向到目标页面，即用户的主显示板页面。