SAML2 认证⚓︎

注：SAML2 认证为 JumpServer 企业版功能。

提示

SAML2 协议的单点登录。

1 配置认证⚓︎

点击左侧菜单 设置 界面中的 认证设置，点击 SAML2 认证后面的 启用 按钮。

配置认证配置证书

注意

如果没有可信任的证书，需要手动生成。

openssl genrsa -out server.key 2048  # 这个生成的是 私钥
openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"  # 这个是证书

获取 SP metadata 信息。
访问 http://your_jms_url/core/auth/saml2/metadata/ 保存 metadata 内容(可保存成文件，到 idp 中直接导入)

获取 metadata

2 配置 IDP⚓︎

提示

以 keycloak 为例。

新建 realm，Name 自定义，然后点击 Save 保存。

新建 realm

点击左侧 Client，点击右上角 Create 新建 client。

新建 client

导入刚才保存的 SP metadata 文件，然后点击 Save 保存。

导入 metadata

点击 Client 菜单的子菜单 Settings 界面进行配置修改。
Client Signature Required 修改为 OFF。
IDP Initiated SSO URL Name 修改为 Target IDP initiated SSO URL 地址中提供的信息。

配置 settings

点击子菜单 Roles 中的 Add Role，其中名称可自定义。

配置 Roles

点击子菜单 Mappers，创建如下属性映射。

配置 Mappers 属性映射

点击子菜单 Scope，设置如下。

配置 Scope

点击左侧菜单 Users，并在右上角新建用户。

配置 Users 添加 User

点击 Credentials 子菜单，设置刚才新建用户的密码。

配置密码

点击左侧菜单 realm settings 的子菜单 general，并点击下图所示位置，获取 IDP 的 Metadata 内容，也可根据官方文档根据 api 获取。

IDPMetadata

3 配置 SAML2⚓︎

将获取到的 IDP Metadata 放到 JumpServer 的 SAML2 认证设置中，并开启 SAML2 认证即可。

SAML2 参数