Erstellen von Vertrauensstellungen von Vertrauensstellen in AD FS
Sie müssen Active Directory Federation Services (AD FS) verwenden, um ein Vertrauensverhältnis für jeden Admin-Knoten in Ihrem System zu erstellen. Sie können vertraut mit PowerShell-Befehlen erstellen, SAML-Metadaten von StorageGRID importieren oder die Daten manuell eingeben.
Erstellen eines Vertrauensverhältnisses mit Windows PowerShell
Mit Windows PowerShell können Sie schnell ein oder mehrere Vertrauensstellen von vertrauenswürdigen Parteien erstellen.
-
Sie haben SSO in StorageGRID konfiguriert, und Sie kennen den vollständig qualifizierten Domänennamen (oder die IP-Adresse) und die bestellte Partei-ID für jeden Admin-Node in Ihrem System.
Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID-System ein Vertrauensverhältnis aufbauen. Mit einer Vertrauensbasis für jeden Admin-Knoten wird sichergestellt, dass Benutzer sich sicher bei und aus jedem Admin-Knoten anmelden können. -
Sie haben Erfahrung beim Erstellen von Vertrauensstellungen von Vertrauensstellen in AD FS, oder Sie haben Zugriff auf die Microsoft AD FS-Dokumentation.
-
Sie verwenden das Snap-in AD FS Management und gehören der Gruppe Administratoren an.
Diese Anweisungen gelten für AD FS 4.0, das in Windows Server 2016 enthalten ist. Wenn Sie AD FS 3.0 verwenden, das in Windows 2012 R2 enthalten ist, werden Sie leichte Unterschiede feststellen. Wenn Sie Fragen haben, lesen Sie bitte die Microsoft AD FS-Dokumentation.
-
Klicken Sie im Windows-Startmenü mit der rechten Maustaste auf das PowerShell-Symbol und wählen Sie als Administrator ausführen aus.
-
Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:
Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
-
Für
Admin_Node_Identifier
, Geben Sie die ID für den Admin-Knoten auf, die sich auf der Seite Single Sign-On befindet, genau so ein, wie sie auf der Seite „Single Sign-On“ angezeigt wird. Beispiel:SG-DC1-ADM1
. -
Für
Admin_Node_FQDN
, Geben Sie den vollständig qualifizierten Domänennamen für denselben Admin-Knoten ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Node verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der Vertrauensbasis aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse immer ändert.)
-
-
Wählen Sie im Windows Server Manager Tools > AD FS Management aus.
Das AD FS Management Tool wird angezeigt.
-
Wählen Sie AD FS > vertraut auf Partei.
Die Liste der Vertrauensstellen wird angezeigt.
-
Fügen Sie eine Zugriffskontrollrichtlinie zum neu erstellten Vertrauen der Vertrauensstellenden Partei hinzu:
-
Suchen Sie das Vertrauen der Vertrauensgesellschaft, das Sie gerade erstellt haben.
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen und wählen Sie Zugriffskontrollrichtlinie bearbeiten.
-
Wählen Sie eine Zugriffskontrollrichtlinie aus.
-
Klicken Sie auf Anwenden und klicken Sie auf OK
-
-
Fügen Sie dem neu erstellten Treuhandgesellschaft eine Richtlinie zur Ausstellung von Forderungen hinzu:
-
Suchen Sie das Vertrauen der Vertrauensgesellschaft, das Sie gerade erstellt haben.
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen und wählen Sie Richtlinie zur Bearbeitung von Forderungen aus.
-
Klicken Sie auf Regel hinzufügen.
-
Wählen Sie auf der Seite Regelvorlage auswählen in der Liste LDAP-Attribute als Ansprüche senden aus, und klicken Sie auf Weiter.
-
Geben Sie auf der Seite Regel konfigurieren einen Anzeigenamen für diese Regel ein.
Beispiel: ObjectGUID an Name ID.
-
Wählen Sie im Attributspeicher die Option Active Directory aus.
-
Geben Sie in der Spalte LDAP-Attribut der Mapping-Tabelle objectGUID ein.
-
Wählen Sie in der Spalte Abgehender Antragstyp der Zuordnungstabelle in der Dropdown-Liste Name ID aus.
-
Klicken Sie auf Fertig stellen, und klicken Sie auf OK.
-
-
Bestätigen Sie, dass die Metadaten erfolgreich importiert wurden.
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauenssteller, um seine Eigenschaften zu öffnen.
-
Vergewissern Sie sich, dass die Felder auf den Registerkarten Endpunkte, Identifier und Signatur ausgefüllt sind.
Wenn die Metadaten fehlen, bestätigen Sie, dass die Federation-Metadatenadresse korrekt ist, oder geben Sie einfach die Werte manuell ein.
-
-
Wiederholen Sie diese Schritte, um ein Vertrauensverhältnis für alle Administratorknoten in Ihrem StorageGRID-System zu konfigurieren.
-
Wenn Sie fertig sind, kehren Sie zu StorageGRID und zurück "Testen Sie alle Vertrauensstellen, die sich auf die Vertrauensstellen verlassen" Um sicherzustellen, dass sie richtig konfiguriert sind.
Schaffung eines Vertrauensverhältnisses durch den Import von Federationmetadaten
Sie können die Werte für jedes Vertrauen der betreffenden Anbieter importieren, indem Sie für jeden Admin-Node auf die SAML-Metadaten zugreifen.
-
Sie haben SSO in StorageGRID konfiguriert, und Sie kennen den vollständig qualifizierten Domänennamen (oder die IP-Adresse) und die bestellte Partei-ID für jeden Admin-Node in Ihrem System.
Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID-System ein Vertrauensverhältnis aufbauen. Mit einer Vertrauensbasis für jeden Admin-Knoten wird sichergestellt, dass Benutzer sich sicher bei und aus jedem Admin-Knoten anmelden können. -
Sie haben Erfahrung beim Erstellen von Vertrauensstellungen von Vertrauensstellen in AD FS, oder Sie haben Zugriff auf die Microsoft AD FS-Dokumentation.
-
Sie verwenden das Snap-in AD FS Management und gehören der Gruppe Administratoren an.
Diese Anweisungen gelten für AD FS 4.0, das in Windows Server 2016 enthalten ist. Wenn Sie AD FS 3.0 verwenden, das in Windows 2012 R2 enthalten ist, werden Sie leichte Unterschiede feststellen. Wenn Sie Fragen haben, lesen Sie bitte die Microsoft AD FS-Dokumentation.
-
Klicken Sie im Windows Server Manager auf Tools und wählen Sie dann AD FS Management aus.
-
Klicken Sie unter Aktionen auf Vertrauensstellung hinzufügen.
-
Wählen Sie auf der Begrüßungsseite * Claims Aware* aus und klicken Sie auf Start.
-
Wählen Sie Daten über die online veröffentlichte oder auf einem lokalen Netzwerk importieren.
-
Geben Sie unter Federation Metadatenadresse (Hostname oder URL) den Speicherort der SAML-Metadaten für diesen Admin-Node ein:
https://Admin_Node_FQDN/api/saml-metadata
Für
Admin_Node_FQDN
, Geben Sie den vollständig qualifizierten Domänennamen für denselben Admin-Knoten ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Node verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der Vertrauensbasis aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse immer ändert.) -
Schließen Sie den Assistenten „Vertrauen in die Vertrauensstellung“, speichern Sie das Vertrauen der zu vertrauenden Partei und schließen Sie den Assistenten.
Verwenden Sie bei der Eingabe des Anzeigennamens die bevertrauende Partei-ID für den Admin-Node genau so, wie sie auf der Seite Single Sign-On im Grid Manager angezeigt wird. Beispiel: SG-DC1-ADM1
. -
Fügen Sie eine Antragsregel hinzu:
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen und wählen Sie Richtlinie zur Bearbeitung von Forderungen aus.
-
Klicken Sie auf Regel hinzufügen:
-
Wählen Sie auf der Seite Regelvorlage auswählen in der Liste LDAP-Attribute als Ansprüche senden aus, und klicken Sie auf Weiter.
-
Geben Sie auf der Seite Regel konfigurieren einen Anzeigenamen für diese Regel ein.
Beispiel: ObjectGUID an Name ID.
-
Wählen Sie im Attributspeicher die Option Active Directory aus.
-
Geben Sie in der Spalte LDAP-Attribut der Mapping-Tabelle objectGUID ein.
-
Wählen Sie in der Spalte Abgehender Antragstyp der Zuordnungstabelle in der Dropdown-Liste Name ID aus.
-
Klicken Sie auf Fertig stellen, und klicken Sie auf OK.
-
-
Bestätigen Sie, dass die Metadaten erfolgreich importiert wurden.
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauenssteller, um seine Eigenschaften zu öffnen.
-
Vergewissern Sie sich, dass die Felder auf den Registerkarten Endpunkte, Identifier und Signatur ausgefüllt sind.
Wenn die Metadaten fehlen, bestätigen Sie, dass die Federation-Metadatenadresse korrekt ist, oder geben Sie einfach die Werte manuell ein.
-
-
Wiederholen Sie diese Schritte, um ein Vertrauensverhältnis für alle Administratorknoten in Ihrem StorageGRID-System zu konfigurieren.
-
Wenn Sie fertig sind, kehren Sie zu StorageGRID und zurück "Testen Sie alle Vertrauensstellen, die sich auf die Vertrauensstellen verlassen" Um sicherzustellen, dass sie richtig konfiguriert sind.
Manuelles Erstellen eines Vertrauensverhältnisses mit einer Vertrauensbasis
Wenn Sie sich entscheiden, die Daten für die Treuhanddienste des Treuhandteils nicht zu importieren, können Sie die Werte manuell eingeben.
-
Sie haben SSO in StorageGRID konfiguriert, und Sie kennen den vollständig qualifizierten Domänennamen (oder die IP-Adresse) und die bestellte Partei-ID für jeden Admin-Node in Ihrem System.
Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID-System ein Vertrauensverhältnis aufbauen. Mit einer Vertrauensbasis für jeden Admin-Knoten wird sichergestellt, dass Benutzer sich sicher bei und aus jedem Admin-Knoten anmelden können. -
Sie haben das benutzerdefinierte Zertifikat, das für die StorageGRID Managementoberfläche hochgeladen wurde, oder Sie wissen, wie Sie sich von der Command Shell bei einem Admin-Node einloggen.
-
Sie haben Erfahrung beim Erstellen von Vertrauensstellungen von Vertrauensstellen in AD FS, oder Sie haben Zugriff auf die Microsoft AD FS-Dokumentation.
-
Sie verwenden das Snap-in AD FS Management und gehören der Gruppe Administratoren an.
Diese Anweisungen gelten für AD FS 4.0, das in Windows Server 2016 enthalten ist. Wenn Sie AD FS 3.0 verwenden, das in Windows 2012 R2 enthalten ist, werden Sie leichte Unterschiede feststellen. Wenn Sie Fragen haben, lesen Sie bitte die Microsoft AD FS-Dokumentation.
-
Klicken Sie im Windows Server Manager auf Tools und wählen Sie dann AD FS Management aus.
-
Klicken Sie unter Aktionen auf Vertrauensstellung hinzufügen.
-
Wählen Sie auf der Begrüßungsseite * Claims Aware* aus und klicken Sie auf Start.
-
Wählen Sie Geben Sie Daten über den Kunden manuell ein, und klicken Sie auf Weiter.
-
Schließen Sie den Assistenten für Vertrauen in die vertrauende Partei ab:
-
Geben Sie einen Anzeigenamen für diesen Admin-Node ein.
Verwenden Sie für Konsistenz den Admin-Node mit der bewirtenden Partei-Kennung, genau wie er auf der Seite Single Sign-On im Grid Manager angezeigt wird. Beispiel:
SG-DC1-ADM1
. -
Überspringen Sie den Schritt, um ein optionales Token-Verschlüsselungszertifikat zu konfigurieren.
-
Aktivieren Sie auf der Seite „URL konfigurieren“ das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren.
-
Geben Sie die Endpunkt-URL des SAML-Service für den Admin-Node ein:
https://Admin_Node_FQDN/api/saml-response
Für `Admin_Node_FQDN`Geben Sie den vollständig qualifizierten Domänennamen für den Admin-Knoten ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Node verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der Vertrauensbasis aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse immer ändert.)
-
Geben Sie auf der Seite Configure Identifiers die befolgende Partei-ID für denselben Admin-Node an:
Admin_Node_Identifier
Für
Admin_Node_Identifier
, Geben Sie die ID für den Admin-Knoten auf, die sich auf der Seite Single Sign-On befindet, genau so ein, wie sie auf der Seite „Single Sign-On“ angezeigt wird. Beispiel:SG-DC1-ADM1
. -
Überprüfen Sie die Einstellungen, speichern Sie das Vertrauen der Vertrauensstellungsgesellschaft, und schließen Sie den Assistenten.
Das Dialogfeld „Forderungsrichtlinie bearbeiten“ wird angezeigt.
Wenn das Dialogfeld nicht angezeigt wird, klicken Sie mit der rechten Maustaste auf das Vertrauen und wählen Sie Richtlinie zur Bearbeitung von Forderungen aus. -
-
Um den Assistenten für die Antragsregel zu starten, klicken Sie auf Regel hinzufügen:
-
Wählen Sie auf der Seite Regelvorlage auswählen in der Liste LDAP-Attribute als Ansprüche senden aus, und klicken Sie auf Weiter.
-
Geben Sie auf der Seite Regel konfigurieren einen Anzeigenamen für diese Regel ein.
Beispiel: ObjectGUID an Name ID.
-
Wählen Sie im Attributspeicher die Option Active Directory aus.
-
Geben Sie in der Spalte LDAP-Attribut der Mapping-Tabelle objectGUID ein.
-
Wählen Sie in der Spalte Abgehender Antragstyp der Zuordnungstabelle in der Dropdown-Liste Name ID aus.
-
Klicken Sie auf Fertig stellen, und klicken Sie auf OK.
-
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauenssteller, um seine Eigenschaften zu öffnen.
-
Konfigurieren Sie auf der Registerkarte Endpunkte den Endpunkt für einzelne Abmeldung (SLO):
-
Klicken Sie auf SAML hinzufügen.
-
Wählen Sie Endpunkttyp > SAML Logout.
-
Wählen Sie Bindung > Umleiten.
-
Geben Sie im Feld Trusted URL die URL ein, die für Single Logout (SLO) von diesem Admin-Node verwendet wird:
https://Admin_Node_FQDN/api/saml-logout
Für
Admin_Node_FQDN
, Geben Sie den vollständig qualifizierten Domänennamen des Admin-Knotens ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Node verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der Vertrauensbasis aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse immer ändert.)-
Klicken Sie auf OK.
-
-
Geben Sie auf der Registerkarte Signatur das Signaturzertifikat für dieses Vertrauen der bevertrauenden Partei an:
-
Fügen Sie das benutzerdefinierte Zertifikat hinzu:
-
Wenn Sie über das benutzerdefinierte Managementzertifikat verfügen, das Sie in StorageGRID hochgeladen haben, wählen Sie dieses Zertifikat aus.
-
Wenn Sie nicht über das benutzerdefinierte Zertifikat verfügen, melden Sie sich beim Admin-Knoten an, gehen Sie zu
/var/local/mgmt-api
Verzeichnis des Admin-Knotens, und fügen Sie das hinzucustom-server.crt
Zertifikatdatei.Hinweis: das Standardzertifikat des Admin-Knotens verwenden (
server.crt
) Wird nicht empfohlen. Wenn der Admin-Knoten ausfällt, wird das Standardzertifikat neu generiert, wenn Sie den Knoten wiederherstellen, und Sie müssen das Vertrauen der Vertrauensstelle aktualisieren.
-
-
Klicken Sie auf Anwenden und klicken Sie auf OK.
Die Eigenschaften der zu vertrauenden Partei werden gespeichert und geschlossen.
-
-
Wiederholen Sie diese Schritte, um ein Vertrauensverhältnis für alle Administratorknoten in Ihrem StorageGRID-System zu konfigurieren.
-
Wenn Sie fertig sind, kehren Sie zu StorageGRID und zurück "Testen Sie alle Vertrauensstellen, die sich auf die Vertrauensstellen verlassen" Um sicherzustellen, dass sie richtig konfiguriert sind.