SAML2 认证

注:SAML2 认证为 JumpServer 企业版功能。

提示

  • SAML2 协议的单点登录。

1 配置认证

  • 点击左侧菜单 设置 界面中的 认证设置,点击 SAML2 认证 后面的 启用 按钮。

配置认证 配置证书

注意

  • 如果没有可信任的证书,需要手动生成。
  1. openssl genrsa -out server.key 2048 # 这个生成的是 私钥
  2. openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3" # 这个是证书

获取 metadata

2 配置 IDP

提示

  • 以 keycloak 为例。

  • 新建 realm,Name 自定义,然后点击 Save 保存。

新建 realm

  • 点击左侧 Client,点击右上角 Create 新建 client。

新建 client

  • 导入刚才保存的 SP metadata 文件,然后点击 Save 保存。

导入 metadata

  • 点击 Client 菜单的子菜单 Settings 界面进行配置修改。
  • Client Signature Required 修改为 OFF
  • IDP Initiated SSO URL Name 修改为 Target IDP initiated SSO URL 地址中提供的信息。

配置 settings

  • 点击子菜单 Roles 中的 Add Role,其中名称可自定义。

配置 Roles

  • 点击子菜单 Mappers,创建如下属性映射。

配置 Mappers 属性映射

  • 点击子菜单 Scope,设置如下。

配置 Scope

  • 点击左侧菜单 Users,并在右上角新建用户。

配置 Users 添加 User

  • 点击 Credentials 子菜单,设置刚才新建用户的密码。

配置密码

  • 点击左侧菜单 realm settings 的子菜单 general,并点击下图所示位置,获取 IDP 的 Metadata 内容,也可根据官方文档根据 api 获取。

IDPMetadata

3 配置 SAML2

  • 将获取到的 IDP Metadata 放到 JumpServer 的 SAML2 认证设置中,并开启 SAML2 认证即可。

SAML2 参数