SAML2 认证

SAML2 协议的单点登录

配置认证

点击左侧菜单 设置 界面中的 认证设置,点击 SAML2 认证 后面的 启用 按钮

配置认证 配置证书

如果没有可信任的证书,需要手动生成

  1. openssl genrsa -out server.key 2048  # 这个生成的是 私钥
  2. openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"  # 这个是证书

获取 SP metadata 信息

访问 http://your_jms_url/core/auth/saml2/metadata/ 保存 metadata 内容(可保存成文件,到 idp 中直接导入)

获取 metadata

配置 IDP

以 keycloak 为例

新建 realm,Name 自定义,然后点击 Save 保存

新建 realm

点击左侧 Client,点击右上角 Create 新建 client

新建 client

导入刚才保存的 SP metadata 文件,然后点击 Save 保存

导入 metadata

Client 菜单的子菜单 Settings 界面 修改如下选项,切记前面的 id 不要修改,中间那个可以直接复制下面生成的那个

配置 settings

点击子菜单 Roles,并新建,名称可随意

配置 Roles

点击子菜单 Mappers,创建如下属性映射

配置 Mappers 属性映射

点击子菜单 Scope,设置如下

配置 Scope

点击左侧菜单 Users,并在右上角新建用户

配置 Users 添加 User

点击 Credentials 子菜单,设置刚才新建用户的密码

配置密码

点击左侧菜单 realm settings 的子菜单 general,并点击下图所示位置,获取 IDP 的 Metadata 内容,也可根据官方文档根据 api 获取

IDPMetadata

配置 SAML2

将获取到的 IDP Metadata 放到 JumpServer 的 SAML2 认证设置中,并开启 SAML2 认证即可

SAML2 参数