檢視次數:
Active Directory 同盟服務 (ADFS) 提供對涉及 Windows Server 和 Active Directory 技術的認證感知身份解決方案的支援。ADFS 支援 WS-Trust、WS-Federation 和 Security Assertion Markup Language (SAML) 協議。
本節以 Windows 2016 為例,說明如何將 AD FS 配置為 SAML 伺服器以與 雲端電子郵件閘道保護 一起使用。請確保您已成功安裝 AD FS。

步驟

  1. 前往 StartAll ProgramsWindows Administrative ToolsAD FS Management
  2. 在 AD FS 管理控制台中,前往 AD FS,右鍵點選 Relying Party Trusts,然後選擇 Add Relying Party Trust
  3. 完成新增信賴方信任精靈中每個畫面的設定。
    1. Welcome畫面上,選擇Claims aware並點選Start
    2. Select Data Source畫面上,選擇Enter data about the relying party manually並點選下一步
    3. Specify Display Name 畫面上,指定顯示名稱,例如 Trend Micro Email Security End User Console,然後點選 下一步
    4. Configure Certificate畫面上,點選下一步
      注意
      注意
      不需要加密憑證,雲端電子郵件閘道保護 和聯邦伺服器之間的通信將使用 HTTPS。
    5. Configure URL畫面上,選擇Enable support for the SAML 2.0 WebSSO protocol,輸入依賴方 SAML 2.0 SSO 服務 URL,然後點選下一步
      注意
      注意
      請為您所在的地區指定 SAML 2.0 SSO 服務 URL,如下所示:
      https://euc.<domain_name>/uiserver/euc/ssoAssert?cmpID=<unique_identifier>
      在前面的和後面的 URL 中:
      • <unique_identifier> 替換為唯一標識符。記錄該唯一標識符,當您在 雲端電子郵件閘道保護 管理員控制台上創建 SSO 配置檔時將使用該標識符。
      • <domain_name> 替換為根據您位置資訊的以下任一項:
        • 北美洲、拉丁美洲和亞太地區:
          tmes.trendmicro.com
        • 歐洲和非洲:
          tmes.trendmicro.eu
        • 澳大利亞和紐西蘭:
          tmes-anz.trendmicro.com
        • 日本:
          tmems-jp.trendmicro.com
        • 新加坡:
          tmes-sg.trendmicro.com
        • 印度:
          tmes-in.trendmicro.com
        • 中東(阿聯酋):
          tmes-uae.trendmicro.com
    6. Configure Identifiers畫面上,輸入信賴方信任的識別碼,點選新增,然後點選下一步
      注意
      注意
      請為您所在區域的信賴方信任指定識別碼如下:
      https://euc.<domain_name>/uiserver/euc/ssoLogin
    7. Choose Access Control Policy畫面上,選擇一個存取控制政策並點選下一步
    8. 繼續點選精靈中的下一步,最後點選關閉
  4. Edit Claim Issuance Policy for Trend Micro Email Security End User Console 對話框中,在 Issuance Transform Rules 標籤頁中點選 Add Rule
  5. 完成新增轉換宣告規則精靈中每個畫面的設定。
    1. Select Rule Template畫面上,選擇Send LDAP Attributes as ClaimsClaim rule template,然後點選下一步
    2. Configure Rule畫面上,指定一個規則名稱並為Attribute store選擇Active Directory
    3. 選擇 LDAP 屬性並為每個屬性指定一個傳出宣告類型。例如,選擇 E-Mail-Addresses 並輸入 電子郵件 作為傳出宣告類型。
      重要
      重要
      雲端電子郵件閘道保護 上為 SSO 配置身份宣告類型時,請確保使用此處指定的宣告類型。
    4. (可選)為使用者群組配置群組宣告類型設定。
      1. Select Rule Template畫面上,選擇Send Group Membership as a ClaimClaim rule template,然後點選下一步
      2. Configure Rule畫面上,指定一個規則名稱,點選Browse下的User's group,並選擇 AD 群組。
      3. 指定傳出宣告類型和傳出宣告值。例如,輸入 euc_group 和 AD 群組名稱。
      重要
      重要
      當在雲端電子郵件閘道保護上配置SSO配置檔的群組宣告類型時,請確保使用此處指定的群組宣告類型。
    5. 點選Finish
    6. 點選確定以關閉精靈。
  6. AD FSRelying Party Trust,雙擊您先前建立的信賴方信任檔案。
    1. Test Properties 對話框中,點選 Advanced 標籤。
    2. Secure hash algorithm下拉清單中選擇SHA1,然後點選確定
  7. 收集單一登入的登入和登出URL,並從AD FS獲取用於簽章驗證的憑證。
    1. 在 AD FS 管理控制台中,依次選擇AD FSServiceEndpoints
    2. 尋找SAML 2.0/WS-Federation類型的端點並收集URL路徑。
      注意
      注意
      當您在雲端電子郵件閘道保護上配置登錄和登出URL時,將使用該URL路徑。
      • 登入 URL: <adfs_domain_name>/adfs/ls/
      • 登出 URL:<adfs_domain_name>/adfs/ls/?wa=wsignout1.0
    3. 前往AD FSServiceCertificates
    4. 尋找Token-signing憑證,右鍵點選,然後選擇View Certificate
    5. 點選詳細資訊標籤,然後點選Copy to File
    6. 使用憑證匯出精靈,選擇Base-64 Encoded X.509 (.CER)
    7. 將名稱指派給檔案以完成將憑證匯出到檔案中。