设置单点登录 (SSO)

使用符合 SAML 2.0 的身份提供程序 (IdP) 的 CA Agile Central 按需客户可以配置其 CA Agile Central 订阅以通过单点登录 (SSO) 登录 CA Agile Central。确保 Internet SSO 安全的关键是 Web 浏览器。浏览器与用户的符合 SAML 2.0 的身份提供程序交互、验证用户凭据、创建 SAML 声明并将该声明发送到 CA Agile Central。

注意:CA Agile Central 工作项连接器和 CA Agile Central SCM 连接器都不支持此功能;但是,这些连接器可以在 SSO 异常模式下使用(请参阅“使用高级安全性和管理”页面的“包含异常的 SSO”部分)。

工作原理

  1. 首先,使用在设置过程中您的身份提供程序创建的 URL 访问 CA Agile Central,然后登录到您的身份管理系统。
  2. 已经为您的浏览器提供了 SAML 令牌。
  3. SAML 令牌已发送到 CA Agile Central 的 Ping 联合服务器。
  4. 如果您是所选订阅的有效 CA Agile Central 用户,经过身份验证的令牌将重新发送到您的 Web 浏览器。
  5. 浏览器将经过验证的令牌发送到 CA Agile Central,在这里令牌将被接受,而您将被允许使用相应的订阅。

设置

要设置 SSO,您的公司必须有符合 SAML 2.0 的身份管理系统(如 CA SiteMinder、Ping Connect、Oracle Access Manager (COREid) 或 Tivoli Access Manager)以及能够运行该系统的技术人员(通常是 IT 管理员)。您的身份管理系统管理员必须能够登录并配置您的身份管理系统。出于测试目的,您很可能需要为此管理员提供对 CA Agile Central 的临时访问权限。

如果您未设置身份管理系统,请考虑 CA SiteMinder。此外,Ping Identity 或 Symplified 都是 CA Agile Central 的合作伙伴,是实施 SSO 方面的专家。

注意:此服务仅适用于具有有效生产订阅的客户。免费的沙盒试用订阅不可用于此服务。
  1. 联系支持人员创建新案例。CA Agile Central 支持人员将与您的身份管理系统管理员协同工作。
  2. CA Agile Central 支持人员向您发送 CA Agile Central 服务提供程序 metadata.xml 文件。其中包括诸如 SSO 服务器、我们支持哪些协议以及公共签名秘钥等信息。此 metadata.xml 是 SAML 2.0 标准的一部分。
  3. 使用 CA Agile Central metadata.xml 文件作为输入值将身份提供程序 (IdP) 配置为软件中的 CA Agile Central 服务提供程序连接。
  4. 确保您的身份提供程序 (IdP) 已设为允许 SP 启动的 SSO 会话。
  5. 使用嵌入的公钥证书导出 IdP metadata.xml 文件。此文件将包括诸如 SSO 服务器、所支持的协议以及您的公共秘钥等信息。
    • 您的 SAML_SUBJECT 格式必须为 CA Agile Central ID,例如 @。CA Agile Central 不能为您进行此修改。出于测试目的,您可能需要 CA Agile Central 订阅管理员将 IT 管理员添加到您的 CA Agile Central 订阅。
    • 如果不能满足映射,则必须首先更改 CA Agile Central 用户 ID 以匹配由 SAML_SUBJECT 呈现的格式,才能进行映射。
  6. 从 CA Agile Central 产品内部的“支持”链接将此文件安全地传输到 CA Agile Central 支持。如果双方同时支持 SSL,则可以通过电子邮件执行此操作。
  7. CA Agile Central 支持将此文件交付到 CA Agile Central 运营。CA Agile Central 运营将针对此特定连接设置 SSO 软件。我们还将确保正确的订阅 ID 映射到该连接并且已针对该订阅启用 SSO。
  8. 验证您可以通过 IdP 端点登录。
  9. 为用户提供重定向 URL,以便用户通过 SSO 登录 CA Agile Central。

设置 Active Directory Federation Services (ADFS) SSO

  1. 打开 AD FS 2.0 管理应用程序。
  2. 展开左侧菜单中的“信任关系”,然后单击“依赖方信任”。
  3. 从“操作”菜单中,选择“添加依赖方信任”。
  4. 选择“开始”启动向导。
  5. 选择“从文件中导入有关依赖方的数据”选项。
  6. 在您的系统中找到 CA Agile Central metadata.xml 文件,选择“打开”,然后选择向导屏幕上的“下一步”。
  7. 输入您的显示名称,然后选择“下一步”。
  8. 选择您所在组织的“授权”规则。通常情况下,大多数环境将使用“允许所有用户”选项。
  9. 选择“下一步”,然后选择“关闭”。
  10. 确保选择“向导关闭时打开此依赖方的编辑声明规则对话框”字段,然后选择“关闭”。
  11. 在“编辑声明规则”窗口中,选择“添加规则”。
  12. 选择“声明”规则模板,然后选择“下一步”。
  13. 添加“声明”规则名称,选择所需的属性,然后修改这些属性。

    *在此示例中,映射传出声明的 Active Directory 属性和 LDAP 属性。LDAP 属性是电子邮件地址。传出声明类型已设为“名称 ID”(根据您所在公司的 IdP 配置,您可能需要选择除“名称 ID”以外的其他选项。

  14. 选择“完成”。
  15. 选择“关闭”。
  16. 现在,您可以从浏览器导出 metadata.xml 文件,通过有关 SSO 实例设置的案例将其提供给 CA Agile Central 支持,以便 CA Agile Central 的运营团队可以实施此文件以最终确定设置。您可以使用 URL https:///FederationMetadata/2007-06/FederationMetadata.xml 保存 ADFS 元数据,其中 是您的服务器名称或 IP 地址。完成此操作后,CA Agile Central 支持将确认您的 SSO URL 并确保您能够正常登录。

 

注意:
  • CA Agile Central 登录 ID ([email protected]) 的名称部分必须与身份管理系统使用的登录 ID 一致。如果这些登录 ID 不同,则 SSO 将对该用户不起作用,您将需要更新要匹配的 CA Agile Central 登录 ID。
    • 如果您的身份管理用户名的格式为“peter”,则许多 IdP 系统将允许 @company.com 部分的串联。这样可以使 IdP 用户名匹配“[email protected]”格式。
  • 在 IdP 系统中禁用某个用户不会立即终止该用户在 CA Agile Central 中的会话。登录用户将继续拥有访问权限,直到出现以下情况:注销 CA Agile Central、会话超时或订阅管理员禁用 CA Agile Central 中的帐户。
  • 您的身份提供程序必须将其时钟同步到可靠的时间源;否则该提供程序生成的令牌将会失效并且 SSO 将会失败。
  • 适用于 CA Agile Central 内部部署订阅的 SSO 作为 LDAP(而不是 SSO)解决方案提供。联系 CA Agile Central 支持了解详细信息。

 

常见问题

  1. 谁持有公钥证书(是否有类似于 Ping Identity 的第三方结算所)或者是否 CA Agile Central 提供了证书服务器?
    对于按需用户,CA Agile Central 已安装 Ping 联合服务器,其中保留了您的身份管理系统的公钥副本。这样可以验证令牌,而无需存储任何私钥。如果您有多个订阅 ID,则需要为每个要通过 SSO 进行身份验证的 CA Agile Central 订阅 ID 创建不同的服务提供程序连接。

  2. 我们是否能够提供自己的证书服务器?
    是的,您可以使用防火墙后任何符合 SAML 2.0 的身份管理系统与我们的 Ping 联合服务器进行通讯。您需要按上述请求的格式提供此证书。

  3. 这是用于身份验证。您是否正在进行授权或是打算这么做?
    不,我们没有计划进行授权。

  4. 我们需要了解的挑战有哪些?
    SSO 在双方都需要一些配置时间。身份管理系统通常由 IT 部门管理,这是一个 CA Agile Central 不经常打交道的部门。它可能需要一些时间来识别 IT 部门的联系人,此人员有权新建服务提供程序连接和公钥 XML 元数据文件,CA Agile Central 需要这些文件来启用 SSO。请确保在给 CA Agile Central 支持打电话之前确定此人员。

  5. 有没有可供采纳的最佳实践,例如是从小部门和小规模开始,还是任其发展?
    对于现有客户,有一种同时允许 SSO 和 CA Agile Central 身份验证的混合模式。我们建议在设置时,并且仅在所有用户都能够使用 SSO 登录后切换到仅 SSO 时使用此模式。请注意,如果您切换到仅 SSO 身份验证,用户将只能从企业防火墙后面登录 CA Agile Central。如果您希望用户在家(或不是从防火墙后面的任意 Web 位置)登录 CA Agile Central,则应针对混合模式设置 CA Agile Central 连接。

  6. 如果用户忘记密码应该怎么办?
    答案取决于针对何种 SSO 配置的订阅:
    1. 使用“仅 SSO”模式的订阅需要通过其内部 IT 团队重置密码,因为 CA Agile Central 无权访问该密码存储库。
    2. 使用“SSO 混合模式”的订阅可以重置其 CA Agile Central 密码(SSO 令牌仍然无效)或内部重置其 SSO 密码(CA Agile Central 密码仍然无效)。

  7. 现在,用户将会收到密码到期通知电子邮件,警告密码将会很快到期。如果我们切换到“包含异常的仅 SSO”模式是否会避免这些情况?
    是的,未出现在异常列表中的所有情况都不会出现。

  8. 切换到“包含异常的仅 SSO”模式后,仅 SSO 用户是否能够注意到配置文件页面的密码更改,还是此部分不再显示?
    此部分将不再显示在配置文件页中。

  9. 如果仅 SSO 用户转到 CA Agile Central 登录页面并选择“忘记密码”,会出现什么情况?
    CA Agile Central 系统将向该用户发送包含订阅的 SSO 信息的链接。

  10. 我们是否能够使用集成和应用程序?
    目前,集成不支持基于 SAML 的身份验证。可以编写一条集成从身份提供程序获取 SAML 令牌,但是目前还没有人这么做。正在使用集成或 Web 服务 API 的客户很可能希望使用“包含异常的 SSO”模式或 API 密钥。支持通过浏览器中的自定义 CA Agile Central 应用程序使用 Web 服务 API,因为它们可以获取 cookie 作为登录过程的一部分。

  11. 需要多长时间才能使其运行?
    在您确定 IT 部门的正确联系人后,几天的时间即可使 SSO 运行。

  12. CA Agile Central 的 SSO 是否可用于所有 CA Agile Central 版本以及是否有额外的成本?
    SSO 随无限版订阅提供,无需额外费用。如果您正在使用企业版,请联系您的 CA Agile Central 客户经理讨论如何升级到无限版。

  13. 是否能够在沙盒上进行测试?
    SSO 在 sandbox.rallydev.com 中不可用。它可以在生产中的混合模式下安全地进行测试,无需与订阅中的其他用户交互。

  14. 如果我禁用某个用户的 SSO 帐户,他是否会立即从 CA Agile Central 注销?
    不会。如果这些用户已登录 CA Agile Central,则在其 SSO 帐户被禁用时,他们仍然能够访问 CA Agile Central,直到他们自己注销或他们的会话超时并被强制重新身份验证。

  15. 如何从 ADFS 导出元数据文件?
    通常,ADFS 元数据位于此处:https:///FederationMetadata/2007-06/FederationMetadata.xml,其中 是您的服务器名称或 IP 地址。您可以保存该文件。

  16. 如果我不使用身份提供程序 (IdP),是否仍然能够禁用 SSO?
    可能可以。请联系客户代表并与“技术服务”团队开始发现过程。

  17. 元数据文件示例是什么样子?
    0jMS2Redw9hkax3mk0gs0zvN92A=
        A8AoyWPlgCZ4vhqDkDylu530TFiv1+374ekc8xzOKMUsn2B2H4IbVfrqou4SdIRK/WU52lkkItc6
        CbznJokbWZSoxfpEe9aAuLMJn4cS6Ln1qDCw0X3BXCPQ6+H16Yy3ZTYq5gSHo18GEOqe9iW9872k
        RfPgcVNAuqszdxTY5BkX7v5g9Grc8ALNYYVWssMaXJUNdm/oiq//WYAZxxFXa7f3kEY2ltQKaaQv
        3n/SLWzDAdBl1NNBaRC4a1QyrInec019AjpoQ2W+h4FER121xUlGyx0AX+M0ZEmY3+7PuusC6sWS
        af1jdUid9E2jNxTJJwvmqSPOKBKIXAnM1okrJA==
        
        MIIDPjCCAiagAwIBAgIGAS2WHAUZMA0GCSqGSIb3DQEBBQUAMGAxCzAJBgNVBAYTAlVTMQswCQYD
        VQQIEwJDTzEQMA4GA1UEBxMHQm91bGRlcjEXMBUGA1UEChMOUmFsbHkgU29mdHdhcmUxGTAXBgNV
        BAMTEHNzby5yYWxseWRldi5jb20wHhcNMTEwMTE3MjIzMjU0WhcNMzgwNjA0MjEzMjU0WjBgMQsw
        CQYDVQQGEwJVUzELMAkGA1UECBMCQ08xEDAOBgNVBAcTB0JvdWxkZXIxFzAVBgNVBAoTDlJhbGx5
        IFNvZnR3YXJlMRkwFwYDVQQDExBzc28ucmFsbHlkZXYuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOC
        AQ8AMIIBCgKCAQEAlfegSpv/FnbkyoZshy3pm5zghS/losCo026l1Li2MO4ZVuWncbaXduMmg36F
        1qFJGxS3OYepXdhgQaLrfk1WqqILwM++xuGLCoeaKfsnXXuDVa2AtzQwBk7TyMCWFyVw1+AOT9wX
        /cX1Pd77nenQ9rq5Cc51PxfciEtD/r0M9XtVv3R2shOH4yKAslRGbEpoepENsy+vSid/vprlEqXL
        c+jQ59WbXffl1qZDf9xB7CeQhdefeklsEzXIpVvYeyYV+J0D7V0GvJRchokEb3IQYRUIefElrAGi
        7f5HEU8rat7bReHzLgzN80OS6UzS0affQZ+LUwXeRN0ACPYspe+72QIDAQABMA0GCSqGSIb3DQEB
        BQUAA4IBAQCUPiGKwasTqvkQxEsqFDFL4FWVJUii6Io5Jh+aBbHhUKqZ7Z6CrnXFVFmQa9avrAmd
        yzE6kkPDWUioYVoENrM2nxjGpsqic7f/uw23cctl2OJxmqLdHUPEapf77VRsiGXQvcnrfevo2Iw7
        6RKho9QLIEU3kOAcM/cZnUxxaK0H3yLsCjuUptiLWqUvqYKuyMheHd4gsZl7t6yGtM0oEyTs8xLS
        smYrHIvQyyXWdJxQar3+lWg9K8qJbxQdbcp4E5ipafKluPmXuG09wujIDgIpyLeu/ALCKiOCvRlp
        BH9qLawXx7oGN4skw4SoQTI8dnZ+mrP6qADWOT79cIc0OHvM
            
        lfegSpv/FnbkyoZshy3pm5zghS/losCo026l1Li2MO4ZVuWncbaXduMmg36F1qFJGxS3OYepXdhg
        QaLrfk1WqqILwM++xuGLCoeaKfsnXXuDVa2AtzQwBk7TyMCWFyVw1+AOT9wX/cX1Pd77nenQ9rq5
        Cc51PxfciEtD/r0M9XtVv3R2shOH4yKAslRGbEpoepENsy+vSid/vprlEqXLc+jQ59WbXffl1qZD
        f9xB7CeQhdefeklsEzXIpVvYeyYV+J0D7V0GvJRchokEb3IQYRUIefElrAGi7f5HEU8rat7bReHz
        LgzN80OS6UzS0affQZ+LUwXeRN0ACPYspe+72Q==
              AQABCA Agile Central Software Development Corp.OperationsTeam[email protected]303-565-2800

反馈

需要更多帮助? CA Agile Central 社区为您提供一站式自助和支持。要将反馈或支持请求提交到 CA Agile Central 支持、获取解答并与其他用户协作,请加入我们的 CA Agile Central 社区