Microsoft AD FS

Postman Enterprise 计划提供使用 Microsoft AD FS 的 SSO。

要使用 Microsoft Active Directory 联合身份验证服务 (AD FS) 配置 SSO ，你可以使用 Microsoft AD FS 服务器。你必须是 Microsoft AD FS 和 Postman 的管理员才能为你的团队配置 SSO。

在使用 Microsoft AD FS 配置 SSO 之前，你必须创建以下内容：

• 所有用户都具有电子邮件地址属性的 Active Directory 实例。
• 来自 Microsoft AD FS 服务器的 SSL 证书。
• 运行 Microsoft Server 2012 或 2008 的服务器。

满足这些最低要求后，请在你的服务器上安装 Microsoft AD FS。要配置和安装 Microsoft AD FS，请参阅 Microsoft 知识库中的 部署和配置 AD FS 。

添加依赖方信任

依赖方信任定义了 Microsoft AD FS 和 Postman 之间的连接。

1. 在你的计算机上打开 AD FS 管理。

2. 选择依赖方信任文件夹。

3. 在操作侧栏上，选择添加依赖方信任以启动新信任的配置向导。

4. 在“欢迎”屏幕中，选择“开始”。

   

5. 在 Select Data Source 屏幕中，选择Enter data about the party manually然后选择Next。

6. 在 Specify Display Name 屏幕中，输入你稍后会识别的显示名称，然后选择Next。你可以选择添加注释。

7. 在选择配置文件屏幕中，选择AD FS 配置文件，然后选择下一步。

8. 在 Configure Certificate 屏幕中，上传从 Postman 下载的加密证书或使用默认证书设置，然后选择Next。

   

9. 在配置 URL 屏幕中，选择启用对 SAML 2.0 WebSSO 协议的支持。从 Postman 获取ACS URL并将其添加为你的依赖方 SAML 2.0 SSO 服务 URL，然后选择下一步。

   

10. 在 Configure Identifiers 屏幕中，从 Postman 获取Entity ID并将其添加为你的Relying party trust identifier。选择添加，然后选择下一步。

    

11. 在现在配置多重身份验证？屏幕上，选择我此时不想为此依赖方信任配置多重身份验证设置。

12. 在 Choose Issuance Authorization Rules 屏幕中，选择Permit all users to access this relying party然后选择Next。

13. 在 Ready to Add Trust 屏幕中，检查你的设置，然后选择Next。

14. 在 Finish 屏幕中，选择Close退出并打开 Claim Rules editor 。

创建声明规则

创建依赖方信任后，你可以创建两个声明规则。

1. 在你的计算机上打开 AD FS 管理。

2. 选择Relying Party Trusts文件夹，然后选择 你创建的信赖方信任 。

3. 在“操作”侧栏上，选择“编辑声明规则”以启动新规则的配置向导。

4. 选择添加规则以创建新规则。

   

5. 在 Select Rule Template 屏幕中，选择Send LDAP Attributes as Claims作为声明规则模板，然后选择Next。

6. 在“配置规则”屏幕中，输入你稍后会识别的声明规则名称。选择Active Directory作为属性存储。在LDAP 属性列中，选择电子邮件地址。在传出声明类型列中，选择电子邮件地址。然后选择完成。

   

7. 选择添加规则以创建另一个新规则。

8. 在 Select Rule Template 屏幕中，选择Transform an Incoming Claim作为声明规则模板，然后选择Next。

9. 在“配置规则”屏幕中，输入你稍后会识别的声明规则名称。选择电子邮件地址作为传入索赔类型。选择名称 ID作为传出声明类型。选择电子邮件作为传出名称 ID 格式。选择Pass through all claim values。然后选择完成。

   

10. 选择应用，然后选择确定以保存新规则。

更改哈希算法

要更改依赖方信任的哈希算法，请执行以下操作：

1. 在你的计算机上打开 AD FS 管理。

2. 选择Relying Party Trusts文件夹，然后选择 你创建的信赖方信任 。

3. 在“操作”侧栏中，选择“属性”。

4. 选择高级选项卡。选择SHA-1作为安全散列算法。

5. 选择应用，然后选择确定。

   

在你的服务器上启用 RelayState 参数

在你的 Microsoft AD FS 服务器上启用 RelayState 参数，然后重新启动你的服务。

1. 打开配置文件。

   • 对于 Microsoft AD FS 2.0，在文本编辑器中打开以下文件：

     %systemroot%\inetpub\adfs\ls\web.config

   • 对于 Microsoft AD FS 3.0，在文本编辑器中打开以下文件：

     %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config

2. 在该<microsoft.identityServer.web>部分中，添加一行<useRelayStateForIdpInitiatedSignOn enabled="true" />如下，然后保存更改：

   <microsoft.identityServer.web>
       ...
       <useRelayStateForIdpInitiatedSignOn enabled="true" />
   </microsoft.identityServer.web>

3. 对于 Microsoft AD FS 2.0，运行IISReset以重新启动 IIS。

4. 对于 Microsoft AD FS 2.0 和 3.0，重新启动 Active Directory Federation Services ( adfssrv) 服务。

   如果你使用的是 Microsoft AD FS 3.0，则只需adfssrv在 Microsoft AD FS 3.0 服务器上重新启动 Active Directory Federation Services ( ) 服务，而不是 WAP 服务器。

将身份提供者详细信息提交给 Postman

配置服务器后，将身份提供者 (IdP) 的详细信息提交给 Postman。

1. 从 Microsoft AD FS 下载联合元数据 XML 文件。你通常可以在 找到此文件https://<Federation Service name>/FederationMetadata/2007-06/FederationMetadata.xml。
2. 在 Postman 中，在身份提供者元数据文件下上传联合元数据 XML 文件。或者，你可以在身份提供者详细信息下分别输入SSO URL、身份提供者颁发者和X.509 证书。
3. 在 Postman 中选择保存身份验证。