单一登录（SSO）设置

Dotcom 监视器支持使用 SAML 2.0 进行 SSO（单点登录）登录。 SAML 提供在客户端的身份提供程序和 Dotcom 监视器服务之间传输身份验证数据。所有用户登录信息都存储在身份提供程序端，而不是由 Dotcom 监视器存储，这保证了高级别的安全性和更好的用户体验。

在系统中设置权限组后，Dotcom 监视器会将这些组映射到我们的用户角色，并相应地授予对 Dotcom 监视器系统的访问权限。

在本文中，我们将提供使用 Active Directory FS （ADFS）和 AZURE Active Directory （Azure AD）作为标识提供者启用 SSO 所需的步骤。此外，还提供了 OKTA SAML 集成的分步指南。

通常，建议在活动目录内设置多个组中权限级别不同的 Dotcom 监视器用户。但是，如果用户属于 Dotcom-Monitor 中的两个或两个以上的权限级别，则最低权限级别将优先于权限较高的级别。例如，如果用户在 Dotcom-Monitor 平台中同时分配了查看器（仅限阅读）和电源用户角色，则将在 SSO 登录期间应用查看器角色权限。

具有活动目录FS的SSO
1. 安装 ADFS 2.0（可在http://www.microsoft.com/en-us/download/details.aspx?id=10909找到帮助）。

2. 下载 元数据.xml。

3. 在 ADFS 2.0 管理 控制台中，添加 SSL 证书以签署 Dotcom 监视器响应/请求：
- 启动ADFS 2.0 管理控制台并打开服务器配置向导。
- 单击“创建新 FS”并选择独立 FS。
- 选择 SSL 证书（如果没有证书，则可以使用 INETMGR > 服务器证书创建自签名证书创建自签名证书>）。
4. 在 ADFS 2.0管理 控制台中，将IDR添加到ADFS依赖方信托：
- 单击“依赖方信任”并选择“添加依赖方信任“。
- 在向导窗口中，单击 “开始 “并 从文件中选择有关依赖方的导入数据。
- 选择元数据.xml。
- 选择任何有意义的名称（dotcom-monitor.com）。
- 单击“下一步“并按照提示进行操作。
- 在“颁发授权规则”步骤上，选择”允许所有用户访问此依赖方”
- 在最后一步，当向导关闭复选框时，单击以取消选择 此依赖方信任的”打开编辑索赔规则”对话 框。
- 关闭向导。
5. 将 SHA-1 设置为安全哈希算法：
- 创建依赖方信任右键单击它在列表中，并选择 Propers。
- 转到“高级“选项卡并将哈希算法更改为SHA-1。
6. 添加索赔规则以将LDAP属性作为索赔发送：
- 右键单击依赖方，选择“编辑索赔规则“。
- 单击”添加规则“，并确保声明规则模板已选择”发送 LDAP 属性作为声明“。
- 为声明规则名称。
- 选择属性存储为活动目录。
- 添加两个属性映射：对于用户主体名称设置UPN，对于令牌组 – 不合格名称设置角色。
7. 添加自定义规则：
- 右键单击依赖方，选择“编辑索赔规则“。
- 单击“添加规则“并将声明规则模板设置为使用自定义规则发送声明。
- 为声明规则名称。
- 插入以下脚本：
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- 将“http://www.example.com/adfs/services/trust”替换为适当的标识提供程序（IdP）实体 ID（”http://idpsite.com/adfs/services/trust”）。http://idpsite.com/adfs/services/trust
8. 从 IdP 计算机在浏览器中打开 URL： https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. 将 XML 内容保存为文件，然后使用票证系统将其发送到 Dotcom 监控器支持。

启用 SSO 后，您可以通过在 AD 中创建新用户或将现有用户添加到以下组之一来添加 Dotcom 监视器网站用户：“Dotcom-Monitor_Administrators”、“Dotcom-Monitor_Users”、“Dotcom-Monitor_Power_Users”、“Dotcom-Monitor_Accounting_Users”、“Dotcom-Monitor_ReadOnly_Users”、“Dotcom-Monitor_Operators”。每个群体都必须有”全局“或”通用“范围和”安全“类型。
带AZURE活动目录的 SSO
1. 以全局管理员或共同管理员身份登录到Azure 门户。

2. 在门户中，在左侧导航面板上，选择Azure 活动目录。

3. 要使用 Azure AD管理（创建）未来SSO 登录的用户，请在Azure 活动目录导航面板中的”管理”部分下，>选择” 所有用户：”

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. 创建新的企业应用程序：
- 在Azure 活动目录导航面板中，选择企业应用程序。
- 单击“新应用程序“，然后单击非库应用程序。
- 在“ 添加自己的 应用程序”页上，设置新应用程序的名称（“userauth.dotcom-monitor.com”），然后单击“ 添加”。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. 编辑应用程序元数据以添加网络监视器组：
- 在Azure 活动目录导航面板中，选择应用注册。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- 单击“userauth.dotcom-monitor.com”应用程序，然后在“管理“部分下选择“清单“。
- 在基于 Web 的清单编辑器中，在AppRole节点下添加以下角色，并保存：
```
   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },
```
5. 编辑 SSO 设置：
- 在 Azure Active Directory 导航面板中，选择“ 企业应用程序”，然后单击“ 所有应用程序”。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- 单击“userauth.dotcom-monitor.com”应用程序。
- 在“管理“部分下，选择“单一登录“。
- 选择SAML以配置单一登录。在“使用 SAML 设置单一登录 – 预览“页上配置基本的 SAML 选项：
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- 在“用户属性和声明”部分的右上角选择“编辑“图标（铅笔），然后添加新属性：
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- 选择SAML 签名证书部分右上角的编辑图标（铅笔）。
- 在SAML 签名证书部分中，单击“下载元数据 XML”并将其保存到磁盘。必须将此文件发送到dotcom-monitor.com支持。
- 选中使新证书处于活动状态（仅在下载元数据后）并确认操作。
- 选中显示高级证书签名设置并将SHA-1设置为签名算法。
- 单击”保存“。
6. 分配角色：
- 在 Azure Active Directory 导航面板中，选择“ 企业应用程序”，然后单击“ 所有应用程序”。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- 单击“userauth.dotcom-monitor.com”应用程序，然后选择“用户”和”组“。
- 单击添加用户，选择用户，选择角色（网络监视器角色之一），然后单击分配。为需要的所有用户执行此操作。
7. 发送 元数据.xml 到网络监视器支持。单击此处，登录您的帐户并提交工单。
与 OKTA 的 SSO

检查以下材料以配置与 Dotcom 监视器的 OKTA 集成，并启用 SSO：

OKTA – 网络监控集成 PDF 指南

OKTA SAML 集成与点对点监控演练视频

山姆登录视频

另请参阅以下替代指南：

奥克塔到多特科姆监控替代指南

奥克塔到多特科姆监控器 SAML 配置视频

为部门配置 SSO

如果您为 Dotcom 监视器帐户创建了部门，则可以将 SSO 用户配置为登录到该帐户。

要为部门启用 SSO，在 AD 中为 Dotcom-Monitor 目的保留的组或角色的名称中添加部门名称作为后缀。使用双连字符作为分隔符：

<AD Group Name>--<Department Name>

若要使用 Dotcom 监视器设置 SSO，请使用以下名称在目录服务中配置 SSO 角色：

AD 组名称（SSO 角色）	网络监视器中的用户角色
网络Monitor_Administrators	管理
互联网Monitor_Users	用户
互联网Monitor_Accounting_Users	Accounting
互联网Monitor_ReadOnly_Users	观众
网络Monitor_Power_Users	超级用户
网络通信Monitor_Operators	算子

例如，若要允许用户使用 高级用户 角色的权限登录到“AlphaDep”部门，请将以下后缀添加到 Dotcom Monitor_Power_Users AD 组：

«Dotcom-Monitor_Power_Users--AlphaDep»

要更改 ADFS 组名，请右键单击组并选择 重命名。重命名后，请更改弹出框中的”2000 年前窗口”名称或“属性 > 通用 > 组名称”（Windows 2000 前）。

您还可以使用相同的格式逐个添加多个部门的名称。例如：

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

要允许用户登录到 root 帐户，请指定不带部门后缀的相关 AD 组，如上所述：

«Dotcom-Monitor_ReadOnly_Users»

如果用户包含在多个[Dotcom-Monitor_] AD 组中，并配置了 SSO，则将启用登录到所有相应的部门（如果部门存在于 Dotcom-Monitor 帐户中）。

另请参阅：使用 SSO 登录

单一登录（SSO）设置

具有活动目录FS的SSO

带AZURE活动目录的 SSO

与 OKTA 的 SSO

为部门配置 SSO

解决方案

特征

公司

具有活动目录FS的SSO

带AZURE活动目录的 SSO

与 OKTA 的 SSO

为部门配置 SSO

解决 方案

特征

公司

解决方案