跳转到主要内容

先决条件

  • 在配置身份之前,请确保已拥有 Vantage 租户标识符。要获取租户标识符,请在 ABBYY Vantage 中单击 Configuration,该标识符位于 General 选项卡中。
  • 创建一个重定向 URI 以接收身份验证响应。URI 为:
    https://<your-vantage-url>/auth2/Saml2/Acs

设置

设置过程包括以下步骤:

添加声明描述

  1. 打开管理控制台。
  2. 选择 Service > Claim Descriptions。点击 Add Claim Description
  3. 填写必需字段:
    • 指定显示名称,例如 Persistent Identifier。
    • 指定声明类型:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • 选择 Publish this claim description in federation metadata as a claim type that this federation service can accept
    • 选择 Publish this claim description in federation metadata as a claim type that this federation service can send
添加声明描述
  1. 点击 OK
现在,您可以控制如何在不同系统之间映射用户属性。

配置依赖方信任

要创建 ADFS 依赖方信任,请按以下步骤操作:
  1. 在控制台树中,在 AD FS 下,选择 Trust Relationships > Relying Party Trusts > Add Relying Party Trust
  2. Welcome 页面,选择 Claims aware,然后选择 Start
  3. Select Data Source 页面,选择 Enter data about the relying party manually,然后选择 Next
  4. Specify Display Name 页面,在 Display Name 中输入任意名称,然后选择 Next
  5. Choose Profile 页面,选择 ADFS 2.0 配置文件,然后点击 Next
  6. Configure Certificate 页面,点击 Next
  7. Configure URL 页面,选择 Enable support for the SAML 2.0 WebSSO protocol。在 Relying party SAML 2.0 SSO service URL 下,输入 https://<your-vantage-url>/auth2/Saml2/Acs,然后点击 Next
  8. 要配置标识信息,请按以下步骤操作:
    • Relying party trust identifier 下输入 api://platform.abbyy.cloud/tenantId,其中 tenantId 是不带连字符的 GUID 格式租户标识符(例如,117489fc1aea41658369d4d18d6557ga)。此值将用作身份验证的 Application ID URI。复制此值,因为在 Vantage 中配置 External Identity Provider 时需要用到它。点击 Add
    • Expose an API 选项卡中,将 Application ID URI 设置为与上面输入的相同值(例如,api://a37892f6-c2e9-4092-b804-d054741da4da)。点击 Add,然后点击 Next
  9. 如果希望为所有用户提供对 Vantage 的访问权限,请在 Choose Issuance Authorization Rules 窗口中选择 Permit all users to access this relying party。或者,如果只希望为特定组提供访问权限,请选择 Permit specific group 并指定所需的组。点击 Next
  10. Ready to Add Trust 页面上检查设置。点击 Next,然后点击 Close
现在已在 Identity Provider 与 ABBYY Vantage 之间建立信任关系。

添加规则以转换传入声明

要应用规则来转换传入声明,请按以下步骤操作:
  1. 单击 Relying Party Trusts
  2. 右键单击选定的信任,然后单击 Edit Claim Issuance Policy
  3. 在打开的 Edit Claim Issuance Policy for <name> 窗口中,单击 Add Rule
编辑声明签发策略
  1. 选择 Transform an Incoming Claim 声明规则模板,然后单击 Next
转换传入声明
  1. 选择 Configure Claim Rule 步骤,然后按如下方式进行设置:
    • Claim rule name 中指定 TransformWindows account name
    • Incoming claim type 中选择 Windows account name
    • Outgoing claim type 中选择 Name ID
    • Outgoing name ID format 中选择 Persistent Identifier
    • 选中 Pass through all claim values
配置声明规则
  1. 单击 Finish
  2. 再添加一条规则,以确保签发的令牌中包含电子邮件和名称声明。在 Select Rule Template 页面上,在 Claim rule template 下选择 Send LDAP Attributes as Claims,然后单击 Next
发送 LDAP 属性
  1. Configure Claim Rule 页面上,在 Claim rule name 下选择 Active Directory 属性存储,然后单击 Finish
Active Directory 属性存储
  1. 添加的规则会显示在 Edit Claim Rules 对话框中。
编辑声明规则对话框

后续步骤

在 Vantage 中通过 SAML 2.0 外部身份提供程序为您的租户设置身份验证,这需要提供以下格式的联合元数据文档 URL:https://<adfs_server_address>/federationmetadata/2007-06/federationmetadata.xml。例如:https://adfs.platform.local/federationmetadata/2007-06/federationmetadata.xml 有关更多信息,请参阅为租户设置外部身份提供程序