Orchestrator 用户指南

适用平台：

上次更新日期 2023年12月12日

外部提供程序的字段说明页面

只有以具有系统管理员角色的用户在主机级别登录时，才能在身份管理门户中访问此页面。

重要提示：在 Identity Server 中执行任何配置更改后，请重新启动 IIS 服务器。

Google 选项卡

注意：只有在顶级域上设置了 Orchestrator 时，Google OpenID Connect 身份验证才有效。

字段	说明
已启用	选中后，它启用 Google OpenID Connect 身份验证。默认情况下，该复选框是未选中状态。
显示名称	Google OpenID Connect 身份验证在“登录”页面中显示的名称。
客户端 ID	Google OpenID Connect 身份验证所需的 Google API 代码。无法在没有客户端密码的情况下正常运作。
客户端密码	Google OpenID Connect 身份验证所需的 Google API 代码。无法在没有客户端 ID 的情况下正常运作。
保存	保存您对 Google OpenID Connect 身份验证所做的更改。

阅读此页面以获取有关 Google OpenID Connect 身份验证设置的更多信息。

Windows 选项卡

字段	说明
已启用	选中后，它启用 Windows 身份验证。默认情况下，该复选框是未选中状态。
强制使用此提供程序自动登录	选中后，它启用 Windows 自动登录。此参数的值可在安装或升级过程中设置。
显示名称	Windows 身份验证在“登录”页面中显示的名称。
保存	保存您对 Windows 身份验证所做的更改。

阅读此页面以获取有关 Windows 身份验证设置的更多信息。

AzureAD 选项卡

注意：不建议在同一个 Orchestrator 实例上使用 Microsoft Azure AD 和 Windows AD。

字段	说明
已启用	选定后，它启用 Azure Active Directory 身份验证。默认情况下，该复选框是未选中状态。
显示名称	Azure Active Directory 身份验证在“登录”页面中显示的名称。
客户端 ID	与 Azure Active Directory 中已注册 Orchestrator 关联的应用程序 ID。
客户端密码	通过在 Azure Active Directory 中注册 Orchestrator 获得的客户端密码。无法在没有客户端 ID 的情况下正常运作。
授权	授权机构是一个 URL，它指示您可以从中请求令牌的目录。它由应用程序的身份提供程序实例和登录受众组成，可能还包括 Azure AD 租户 ID。您可以使用以下公共授权机构之一： `https://login.microsoftonline.com/<tenant>`，其中 <tenant> 是 Azure AD 租户的租户 ID 或与此 Azure AD 租户关联的域。仅用于登录特定组织的用户。 `https://login.microsoftonline.com/common`。用于使用工作和学校帐户或个人 Microsoft 帐户登录用户。
注销 URL	通过在 Azure Active Directory 中注册 Orchestrator 所获得的注销 URL。这是外部身份提供程序侦听传入的注销请求和响应所用的 URL。
保存	保存对 Azure Active Directory 身份验证所做的更改。

阅读此页面，了解有关 Azure Active Directory 身份验证设置的更多信息。

SAML 选项卡

字段	说明
已启用	选中后，使您能够使用 SAML 2.0 进行身份验证。默认情况下，该复选框处于未选中状态。
显示名称	SAML 2.0 身份验证在“登录”页面中显示的名称。
服务提供商实体 ID	SAML 服务提供程序的全球唯一名称。
身份提供商实体 ID	与在外部身份提供程序的门户中注册的 Orchestrator 相关联的实体 ID。
单点登录服务 URL	通过在外部身份提供者的门户中配置 Orchestrator 获得的单点登录 URL。
允许主动执行的身份验证响应	选中后，将使 Identity Server 能够将未经请求的身份验证响应传递给服务提供程序。
返回 URL	成功在“登录”页面中进行身份验证之后，服务提供商用来将您重定向到 Orchestrator 的 URL。
外部用户映射策略	配置的 SAML 身份提供程序将使用的用户映射策略。提供以下选项： `By user email` - 用户的电子邮件地址被设置为属性。这是默认值。 `By username` - 用户名被设置为属性。 `By external provider key` - 将外部提供程序密钥设置为属性。 ADFS、Google 和 OKTA，它们都将您的电子邮件地址用作 SAML 属性。在此处阅读有关自定义映射属性的更多信息。
SAML 绑定类型	与配置的 SAML 身份提供程序交换的消息将使用的传输机制。提供以下选项： `HTTP redirect` - 选中后，将使 SAML 协议消息能够在 URL 参数内传输。这是默认值。这是默认值。 `HTTP POST`- 选中后，将允许使用 base64 编码的内容以 HTML 格式传输 SAML 协议消息。 `Artifact` - 选中后，将允许使用唯一标识符通过引用传输 SAML 请求或响应（或两者）。
签名证书>存储名称	外部身份提供程序使用签名证书来签署其消息。本节中的字段用于配置私钥证书的使用。 “存储名称”字段指向要在其中搜索证书的证书存储。提供以下选项： `My` - 证书导入到受信任的人证书存储中。这是默认值。 `TrustedPublisher` - 证书导入到受信任的发布者证书存储中。 `TrustedPeople` - 证书导入到受信任的人证书存储中。 `Root` - 证书导入到受信任的根证书颁发机构证书存储中。 `Disallowed` - 证书导入到不受信任的证书存储中。 `CertificateAuthority` - 证书导入到中间证书颁发机构存储中。 `AuthRoot` - 证书导入到第三方根证书存储中。 `AddressBook` - 证书导入到其他人存储中。
签名证书 > 存储位置	用于搜索证书的存储的位置。提供以下选项： `LocalMachine` - 证书导入到本地计算机的证书存储中。这是默认值。 `CurrentUser` - 证书导入到当前用户的证书存储中。
签名证书>指纹	Windows 证书存储中提供的指纹值，其中字符之间的所有空格都已删除。详细信息请参阅此处。请访问此处，了解详细信息。
服务证书>存储名称	服务证书指定服务提供程序用于加密声明的证书。 “存储名称”字段指向要在其中搜索证书的证书存储。提供以下选项： `My` - 证书导入到受信任的人证书存储中。这是默认值。 `TrustedPublisher` - 证书导入到受信任的发布者证书存储中。 `TrustedPeople` - 证书导入到受信任的人证书存储中。 `Root` - 证书导入到受信任的根证书颁发机构证书存储中。 `Disallowed` - 证书导入到不受信任的证书存储中。 `CertificateAuthority` - 证书导入到中间证书颁发机构存储中。 `AuthRoot` - 证书导入到第三方根证书存储中。 `AddressBook` - 证书导入到其他人存储中。
服务证书>存储位置	用于搜索证书的存储的位置。提供以下选项： `LocalMachine` - 证书导入到本地计算机的证书存储中。这是默认值。 `CurrentUser` - 证书导入到当前用户的证书存储中。
服务证书>指纹	证书的指纹值，其中字符之间的所有空格都已删除。请访问此处，了解详细信息。
保存	保存您对 SAML 2.0 身份验证所做的更改。