使用 OneLogin™（单一身份）启用访客门户单点登录访问

如果要与 OneLogin™ 集成以对来宾用户进行身份验证，请使用此信息。

瞻博网络 Mist 支持 SAML 2.0，用于对网络进行设备身份验证。因此，您可以使用 OneLogin™（现在的 One Identity）作为身份提供商（IdP）为访客访问设置单点登录（SSO） WLAN。SAML SSO 允许用户登录到其身份提供商一次，然后无缝访问多个其他 Web 应用程序，而无需再次登录。瞻博网络 Mist 访客门户和 OneLogin 都支持 RADIUS EAP-TTLS/PAP 和 EAP-PEAP/MSCHAPv2 身份验证方法。

在开始设置访客门户之前，您应该拥有 OneLogin 门户的管理员凭据，并且已经拥有 SAML 应用程序（或准备好创建一个应用程序）。

您需要从 OneLogin SAML 应用（图 1）获取以下信息，才能在瞻博网络 Mist 门户中配置 OneLogin SSO（图 2）。

此外，您需要将门户 SSO URL 从 Mist 门户复制到您的 OneLogin 应用程序，以完成这一端的设置（门户 SSO URL 直到您保存初始 WLAN 配置后才会创建，因此您实际上会循环回 WLAN 配置页面）。

对于 OneLogin 应用程序，签名算法应设置为 SHA-256。在进行此更改的同时，您可以复制并保存 X.509 证书，以供以后在瞻博网络 Mist 门户中使用。x.509 证书是在 OneLogin 和瞻博网络 Mist 访客门户之间建立信任的公共证书。
在 OneLogin 应用程序中，复制并保存为 “颁发者 URL 和 SAML 2.0 终结点”显示的值。 您可能需要更改 SAML 颁发者类型字段才能使用这些选项。 请参阅高级 SAML 自定义连接器。

图 1：OneLogin SAML 应用程序 SSO 配置屏幕

要从 OneLogin 设置具有 SSO 访问权限的 WLAN，请执行以下作：

从瞻博网络 Mist 菜单中，单击站点 |无线>WLAN，然后从显示的列表中选择现有WLAN，或单击“添加WLAN”按钮以创建新。
滚动到 WLAN 配置页面的访客门户部分，然后选择带有身份提供商的 SSO。
在出现的字段中，使用从 OneLogin SAML 应用程序收集的信息（图 1）填写以下内容：
- 颁发者 - 输入 OneLogin 应用程序中的颁发者 URL 。
- SSO URL - 从 OneLogin 应用程序输入 SAML 2.0 端点。
- 证书 - 粘贴 OneLogin 应用程序的 X.509 证书。
图 2：OneLogin 互作的配置详细信息
（可选）您可以限制客户端在重新登录之前可以在网络上停留多长时间。为此，请在设备保持授权字段中选择时间长度。
（可选）客户端登录后，您可以将其重定向到给定的 URL 或主页。为此，请选中复选框并在授权后重定向到 URL 字段中键入该 URL。
单击“创建”或“保存”按钮将配置上传到 Mist 云并生成门户 SSO URL，您需要在 OneLogin SAML 应用程序中输入该 URL，以便它可以识别来自访客门户的请求。
重新打开 WLAN 的 WLAN 配置页面，然后复制门户 SSO URL。
转到 OneLogin 应用程序详细信息页面，并将您刚刚复制的门户 SSO URL 粘贴到以下字段中：
- 中继状态
- 受众（EntityID）
- 收件人
- ACS（消费者）URL 验证器
- ACS（消费者）URL
- 登录 URL
在 OneLogin 应用程序配置的同一页面上，您可以包含用于断言和响应的 SAML 签名元素。选择两者。

关于设置 OneLogin 应用以与瞻博网络 Mist 访客门户互作，以上是您唯一需要的配置。但是，您还需要指定要为哪些用户显示应用程序。
要在访客门户重定向时正确打开 OneLogin 登录页面，您可能需要指定各种主机名以覆盖域。在瞻博网络 Mist WLAN 配置页面上的允许的主机名字段中执行此作。使用 OneLogin 中的此页面或数据包捕获来监视端口 53 并查看域解析为什么。
启用异常时绕过访客/外部门户选项后，如果接入点无法到达门户或OneLogin服务，则会自动授权客户端连接到WLAN。
单击保存以完成访客门户的 OneLogin SSO。

要验证一切正常，请注销 OneLogin 门户，然后登录您刚刚创建的 WLAN。您将被重定向到 OneLogin 页面，您可以在其中输入登录凭据，然后重定向到瞻博网络主页（或您指定的任何 URL）。