设置 SAML 2.0 支持 › 如何设置 SAML 身份验证 › 配置 IdP

配置 IdP

要开始在 CA Performance Center 中使用 SAML 2.0 来进行用户身份验证，请在身份提供商 (IdP) 上设置一些参数。 任何支持 SAML 2.0 标准的 IdP 应当都可以使用，但是 CA 仅对 CA SiteMinder 进行了测试。

您可以手动配置 IdP，或者可以从单点登录服务器导入 IdP 协议。

手动配置 IdP

遵循这些步骤:

1. 在 IdP 上启用 SAML2 身份验证模式。
2. 为声明使用者服务提供 URL，该服务在安装有单点登录的服务器上运行。 例如：

   http://MyServerName:8381/sso/saml2/UserAssertionService
   

   其中 8381 是单点登录使用的端口。

3. 将绑定方式设置为“HTTP-重定向”。

   注意：HTTP 重定向是单点登录支持的唯一绑定方式。

4. 为单个注销服务提供 URL。

   注销服务和响应位置都是必须的。 这些服务在安装了单点登录的服务器上运行。

   请使用以下示例：

   http://MyServerName:8381/sso/saml2/LogoutService
   http://MyServerName:8381/sso/saml2/LogoutServiceResponse
   

5. 将支持 SAML 2.0 的所有数据源产品网站添加到信任站点列表中。

   此步骤可涉及将这些网站添加到联合合作伙伴关系实体列表中。

6. （可选）验证数字签名和加密设置。 您还必须在单点登录中配置这些设置。

导入 IdP 协议文件

遵循这些步骤:

1. 从位于单点登录服务器上的 IdP 协议文件位置导入 IdP 协议文件。

   在使用单点登录配置工具完成其他设置步骤之后导出该文件。 有关详细信息，请参阅在单点登录中配置 SAML 支持。

2. 将支持 SAML 2.0 的所有数据源产品网站添加到信任站点列表中。

   此步骤可涉及将这些网站添加到联合合作伙伴关系实体列表中。

3. （可选）验证数字签名和加密设置。 您还必须在单点登录中配置这些设置。

故障排除

问题：

配置 SAML 之后会显示以下错误消息：

RelayState is either null or a blank string. RelayState must be set for SSO to work correctly.

Invalid syntax, RelayState=<value>

RelayState does not have parameter SsoRedirectUrl, RelayState=<value>

原因：

一些 IdP 不返回 CA Performance Center 在身份验证期间发送给 IdP 的 RelayState= 值。

解决办法：

手动为您的 IdP 配置 RelayState。 使用以下语法：

SsoProductCode=pc&SsoRedirectUrl=http://[assign the value for CAPC in your book]:8181/pc/desktop/page

注意：为实现安全通信，请将 http: 替换为 https:，并替换端口号。