登入 Control Hub。

前往 管理 > 安全 > 驗證。

轉到 身份提供者 標籤並點擊 啟動 SSO。

選擇一個 IdP。

選擇貴組織的憑證類型：

• 由 Cisco 自簽名— 我們推薦此選項。讓我們簽署憑證，這樣您只需要每隔五年續訂一次。
• 由公共憑證授權單位簽署—更安全，但您需要經常更新元資料（除非您的 IdP 供應商支援信任錨）。

下載中繼資料檔案。

前往您的 PingFederate 管理入口網站 (https://:9999/pingfederate/app)。

在 SP 連線下，選取新建。

選取不將範本用於此連線圓鈕，然後選取下一步。

選取瀏覽器 SSO 設定檔，然後按下一步。

選取匯入中繼資料標籤。

按一下 選擇檔案 瀏覽並匯入您從 Control Hub 下載的元資料文件，然後按 下一步。

檢查「一般資訊」標籤中的資訊，然後按一下完成。

從 PingFederate 管理入口網站中，選取設定瀏覽器 SSO。

勾選 SP 起始的 SSO 勾選方塊，然後按下一步。

選取設定聲明建立作業。

1. 將 NameID 格式變更為暫時，並勾選併入屬性及暫時識別碼勾選方塊。

2. 擴充合約屬性，以 [] 格式新增 mail 和 uid 屬性，然後按 Nexturn:oasis:names:tc:SAML:2.0:attrname-format-basic。

3. 選取對映新的配接器實例以挑選驗證機制。從配接器實例下拉清單中，選取先前設定的其中一種驗證機制，然後按下一步。

4. 選取使用一個對映從多個資料存放區中擷取其他屬性圓鈕，然後按下一步。

5. 選取新增屬性來源以新增網域的「Active Directory 網域控制器」，然後按下一步。

6. 指定基本 DN 並選取根物件類別 <Show All Attributes>。在「過濾器」文字方塊中，輸入 LDAP 過濾器，然後按下一步。

   項目必須包含您預期使用者提供的屬性。它還需要包含它在 LDAP 來源中所對映的值。比方說，如果 Active Directory 設定成過濾 Windows 登入屬性，請輸入 sAMAccountName=${Username}。

7. 選取來源及值以將聲明屬性與 AD 資料存放區提供的屬性相對映。（請勿給「發行標準」輸入任何內容。）

8. 確認「聲明設定」已將身分識別對映設為暫時、將屬性合約設為 uid，將配接器實例設為 1。

   uid 屬性應對映至使用者的電子郵件地址。

選取設定通訊協定設定。

1. 對於「允許的 SAML 連結」，請僅勾選 POST 及 Redirect 勾選方塊。

2. 對於「簽章原則」，請選取總是簽署 SAML 聲明。

   通訊協定設定看起來應該類似如下。

   

3. 選取設定認證以設定聲明的憑證。

4. 選取已經為 SAML 聲明建立的憑證。

在「啟動及摘要」螢幕上，將連線狀態設為使用中。

在主螢幕上，按一下管理所有 SP。

找到您剛建立的連線並按一下匯出中繼資料。

從下拉清單中選擇要用於簽署已匯出檔案的憑證。

按一下匯出。

選擇一個：

• 返回瀏覽器中的 Control Hub – 憑證選擇頁面，然後按 下一步。
• 如果 Control Hub 不再在瀏覽器標籤中打開，請重新打開它。從 Control Hub 中的客戶視圖，前往 管理 > 安全 > 驗證，選擇 IdP，然後選擇 操作 > 導入元資料。

在匯入 IdP 元資料頁面上，將 IdP 元資料檔案拖曳到頁面上，或使用檔案瀏覽器選項來尋找並上傳元資料檔案。按一下下一步。

選擇 測試 SSO 設定，當開啟新的瀏覽器標籤時，透過登入向 IdP 進行身份驗證。

回到 Control Hub 瀏覽器標籤。

• 如果測試成功，請選取測試成功。開啟 SSO 並按下一步。
• 如果測試不成功，請選取測試不成功。關閉 SSO 並按下一步。