单一登录 （SSO） 设置

1. 安装 ADFS 2.0（可在http://www.microsoft.com/en-us/download/details.aspx?id=10909找到帮助）。

2. 下载 元数据.xml。

3. 在 ADFS 2.0 管理 控制台中，添加 SSL 证书以签署 Dotcom 监视器响应/请求：

• 启动ADFS 2.0 管理控制台并打开服务器配置向导。
• 单击“创建新 FS”并选择独立 FS。
• 选择 SSL 证书（如果没有证书，您可以使用 INETMGR > 服务器证书 > 创建自签名证书创建自签名证书）。

4. 在 ADFS 2.0管理 控制台中，将IDR添加到ADFS依赖方信托：

• 单击“依赖方信任”并选择“添加依赖方信任“。
• 在向导窗口中，单击 “开始 “并 从文件中选择有关依赖方的导入数据。
• 选择元数据.xml。
• 选择任何有意义的名称（dotcom-monitor.com）。
• 单击“下一步“并按照提示进行操作。
• 在“颁发授权规则”步骤上，选择”允许所有用户访问此依赖方”
• 在最后一步，当向导关闭复选框时，单击以取消选择 此依赖方信任的”打开编辑索赔规则”对话 框。
• 关闭向导。

5. 将 SHA-1 设置为安全哈希算法：

• 创建依赖方信任右键单击它在列表中，并选择 Propers。
• 转到“高级“选项卡并将哈希算法更改为SHA-1。

6. 添加索赔规则以将LDAP属性作为索赔发送：

• 右键单击依赖方，选择“编辑索赔规则“。
• 单击”添加规则“，并确保声明规则模板已选择”发送 LDAP 属性作为声明“。
• 为声明规则名称。
• 选择属性存储为活动目录。
• 添加两个属性映射：对于用户主体名称设置UPN，对于令牌组 – 不合格名称设置角色。

7. 添加自定义规则：

• 右键单击依赖方，选择“编辑索赔规则“。
• 单击“添加规则“并将声明规则模板设置为使用自定义规则发送声明。
• 为声明规则名称。
• 插入以下脚本：

 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")

• 将“http://www.example.com/adfs/services/trust”替换为适当的标识提供程序 （IdP） 实体 ID（”http://idpsite.com/adfs/services/trust”）。http://idpsite.com/adfs/services/trust

8. 从IdP机器打开浏览器中的 URL：https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. 将 XML 内容保存为文件，然后使用 票证系统将其发送到 Dotcom 监控器支持。

启用 SSO 后，您可以通过在 AD 中创建新用户或将现有用户添加到以下组之一添加 Dotcom-Monitor 网站用户：”网络Monitor_Power_Users”、”网络Monitor_User_Users”、”网络Monitor_Accounting_Users”、”网络Monitor_ReadOnly_Users”、”Monitor_Operators”。Dotcom-Monitor_Operators 每个群体都必须有”全局“或”通用“范围和”安全“类型。

1. 以全局管理员或共同管理员身份登录到Azure 门户。

2. 在门户中，在左侧导航面板上，选择Azure 活动目录。

3. 要使用 Azure AD管理（创建）未来SSO 登录的用户，请在Azure 活动目录导航面板中的”管理”部分下，>选择” 所有用户：”

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. 创建新的企业应用程序：

• 在Azure 活动目录导航面板中，选择企业应用程序。
• 单击“新应用程序“，然后单击非库应用程序。
• 在”添加您自己的应用程序“页上，设置新应用程序的名称（”userauth.dotcom-monitor.com”），然后单击”添加“。

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. 编辑应用程序元数据以添加网络监视器组：

• 在Azure 活动目录导航面板中，选择应用注册。

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps

• 单击“userauth.dotcom-monitor.com”应用程序，然后在“管理“部分下选择“清单“。
• 在基于 Web 的清单编辑器中，在AppRole节点下添加以下角色，并保存：

    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operator_Users",
      "value": "Dotcom-Monitor_Operator_Users"
    },

5. 编辑 SSO 设置：

• 在Azure 活动目录导航面板中，选择企业应用程序，单击“所有应用程序“。

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

• 单击“userauth.dotcom-monitor.com”应用程序。
• 在“管理“部分下，选择“单一登录“。
• 选择SAML以配置单一登录。 在“使用 SAML 设置单一登录 – 预览“页上配置基本的 SAML 选项：

Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”

• 在“用户属性和声明”部分的右上角选择“编辑“图标（铅笔），然后添加新属性：

 Name: “Roles”
 Value: “user.assignedroles”

• 选择SAML 签名证书部分右上角的编辑图标（铅笔）。
• 在SAML 签名证书部分中，单击“下载元数据 XML”并将其保存到磁盘。 必须将此文件发送到dotcom-monitor.com支持。
• 选中使新证书处于活动状态（ 仅在下载元数据后 ）并确认操作。
• 选中显示高级证书签名设置并将SHA-1设置为签名算法。
• 单击”保存“。

6.分配角色：

• 在Azure 活动目录导航面板中，选择企业应用程序，单击“所有应用程序“。

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

• 单击“userauth.dotcom-monitor.com”应用程序，然后选择“用户”和”组“。
• 单击“添加用户“，选择用户，选择角色（网络监视器角色之一），单击”分配“。 为需要的所有用户执行此操作。

7. 将元数据.xml发送到网络监视器支持。点击这里，登录您的帐户并提交机票。

检查以下材料以配置与 Dotcom 监视器的 OKTA 集成，并启用 SSO：

OKTA – 网络监控集成 PDF 指南

OKTA SAML 集成与点对点监控演练视频

山姆登录视频

另请参阅以下替代指南：

奥克塔到多特科姆监控替代指南

奥克塔到多特科姆监控器 SAML 配置视频