Skip to main content
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen von SP-Verbindungen (Service Provider) in PingFederate

Beitragende

Sie verwenden PingFederate, um für jeden Admin-Node in Ihrem System eine SP-Verbindung (Service Provider) zu erstellen. Um den Prozess zu beschleunigen, importieren Sie die SAML-Metadaten aus StorageGRID.

Was Sie benötigen
  • Sie haben Single Sign-On für StorageGRID konfiguriert und als SSO-Typ * Ping föderate* ausgewählt.

  • Der Sandbox-Modus ist auf der Single Sign-On-Seite im Grid Manager ausgewählt. Siehe Verwenden Sie den Sandbox-Modus.

  • Sie haben die SP-Verbindungs-ID für jeden Admin-Knoten in Ihrem System. Diese Werte finden Sie in der Detailtabelle Admin Nodes auf der StorageGRID Single Sign-On-Seite.

  • Sie haben die SAML-Metadaten für jeden Admin-Knoten in Ihrem System heruntergeladen.

  • Sie haben Erfahrung beim Erstellen von SP-Verbindungen in PingFederate Server.

  • Sie haben diehttps://docs.pingidentity.com/bundle/pingfederate-103/page/kfj1564002962494.html["Administrator's Reference Guide"^] Für PingFederate Server. Die PingFederate-Dokumentation bietet detaillierte Schritt-für-Schritt-Anleitungen und Erklärungen.

  • Sie haben die Administratorberechtigung für PingFederate Server.

Über diese Aufgabe

Mit diesen Anweisungen wird zusammengefasst, wie PingFederate Server Version 10.3 als SSO-Anbieter für StorageGRID konfiguriert wird. Wenn Sie eine andere Version von PingFederate verwenden, müssen Sie diese Anweisungen möglicherweise anpassen. Detaillierte Anweisungen für Ihre Version finden Sie in der Dokumentation zu PingFederate Server.

Alle Voraussetzungen in PingFederate

Bevor Sie die SP-Verbindungen erstellen können, die Sie für StorageGRID verwenden, müssen Sie die erforderlichen Aufgaben in PingFederate ausführen. Beim Konfigurieren der SP-Verbindungen verwenden Sie Informationen aus diesen Voraussetzungen.

Datenspeicher erstellen

Falls noch nicht, erstellen Sie einen Datenspeicher, um PingFederate mit dem AD FS LDAP-Server zu verbinden. Verwenden Sie die Werte, die Sie verwendet haben, wenn Identitätsföderation wird konfiguriert Im StorageGRID.

  • Typ: Verzeichnis (LDAP)

  • LDAP-Typ: Active Directory

  • Binärattribut Name: Geben Sie objectGUID auf der Registerkarte LDAP Binärattribute genau wie dargestellt ein.

Passwortvalididator[[Password-Validator] erstellen

Wenn Sie noch nicht vorhanden sind, erstellen Sie einen Validierer für Kennwortausweise.

  • Typ: LDAP Benutzername Passwort Zugangsdaten Validierer

  • Datenspeicher: Wählen Sie den von Ihnen erstellten Datenspeicher aus.

  • Search base: Geben Sie Informationen aus LDAP ein (z. B. DC=saml,DC=sgws).

  • Suchfilter: SAMAccountName=€{username}

  • Umfang: Unterbaum

IdP-Adapterinstanz erstellen

Wenn Sie noch nicht, erstellen Sie eine IdP-Adapterinstanz.

  1. Gehen Sie zu Authentifizierung Integration IdP-Adapter.

  2. Wählen Sie Neue Instanz Erstellen.

  3. Wählen Sie auf der Registerkarte Typ die Option HTML-Formular-IdP-Adapter aus.

  4. Wählen Sie auf der Registerkarte IdP-Adapter Neue Zeile zu 'Credential Validators' hinzufügen.

  5. Wählen Sie die aus Gültigkeitsprüfung für Kennwortausweise Sie haben erstellt.

  6. Wählen Sie auf der Registerkarte Adapterattribute das Attribut Benutzername für Pseudonym aus.

  7. Wählen Sie Speichern.

Signaturzertifikat erstellen oder importieren

Wenn Sie noch nicht, erstellen oder importieren Sie das Signierungszertifikat.

  1. Gehen Sie zu Sicherheit Signieren von Entschlüsselungszertifikaten.

  2. Erstellen oder importieren Sie das Signieren-Zertifikat.

Erstellen Sie eine SP-Verbindung in PingFederate

Wenn Sie eine SP-Verbindung in PingFederate erstellen, importieren Sie die SAML-Metadaten, die Sie für den Admin-Node von StorageGRID heruntergeladen haben. Die Metadatendatei enthält viele der spezifischen Werte, die Sie benötigen.

Wichtig Sie müssen für jeden Admin-Node in Ihrem StorageGRID-System eine SP-Verbindung erstellen, damit sich Benutzer sicher bei und aus einem beliebigen Node anmelden können. Erstellen Sie anhand dieser Anweisungen die erste SP-Verbindung. Fahren Sie dann mit fort Erstellen Sie zusätzliche SP-Verbindungen Um zusätzliche Verbindungen zu erstellen, die Sie benötigen.

Wählen Sie den SP-Verbindungstyp

  1. Gehen Sie zu Anwendungen Integration SP-Verbindungen.

  2. Wählen Sie Verbindung Erstellen.

  3. Wählen Sie Verwenden Sie keine Vorlage für diese Verbindung.

  4. Wählen Sie als Protokoll Browser SSO Profile und SAML 2.0 aus.

Importieren der SP-Metadaten

  1. Wählen Sie auf der Registerkarte Metadaten importieren die Option Datei.

  2. Wählen Sie die SAML-Metadatendatei, die Sie für den Admin-Node von der StorageGRID-Seite für Single Sign-On heruntergeladen haben.

  3. Überprüfen Sie die Metadaten-Zusammenfassung und die Informationen auf der Registerkarte Allgemeine Informationen.

    Die Entity-ID des Partners und der Verbindungsname werden auf die Verbindungs-ID des StorageGRID-SP festgelegt. (Z. B. 10.96.105.200-DC1-ADM1-105-200). Die Basis-URL ist die IP des StorageGRID-Admin-Knotens.

  4. Wählen Sie Weiter.

Konfigurieren Sie SSO für den IdP-Browser

  1. Wählen Sie auf der Registerkarte Browser-SSO * die Option * Browser-SSO konfigurieren* aus.

  2. Wählen Sie auf der Registerkarte SAML-Profile die Optionen SP-initiated SSO, SP-initial SLO, IdP-initiated SSO und IdP-initiated SLO aus.

  3. Wählen Sie Weiter.

  4. Nehmen Sie auf der Registerkarte Assertion Lifetime keine Änderungen vor.

  5. Wählen Sie auf der Registerkarte Assertion Creation die Option Assertion Creation konfigurieren aus.

    1. Wählen Sie auf der Registerkarte Identitätszuordnung die Option Standard.

    2. Verwenden Sie auf der Registerkarte „Attributvertrag“ die Registerkarte SAML_SUBJECT als Attributvertrag und das undefinierte Namensformat, das importiert wurde.

  6. Wenn Sie den Vertrag verlängern möchten, wählen Sie Löschen aus, um den zu entfernen urn:oid, Die nicht verwendet wird.

Adapterinstanz zuordnen

  1. Wählen Sie auf der Registerkarte Authentication Source Mapping die Option Map New Adapter Instance.

  2. Wählen Sie auf der Registerkarte Adapterinstanz das aus Adapterinstanz Sie haben erstellt.

  3. Wählen Sie auf der Registerkarte Zuordnungsmethode die Option Weitere Attribute aus einem Datenspeicher abrufen aus.

  4. Wählen Sie auf der Registerkarte Attributquelle User Lookup die Option Attributquelle hinzufügen aus.

  5. Geben Sie auf der Registerkarte Data Store eine Beschreibung ein, und wählen Sie die aus Datastore Sie haben hinzugefügt.

  6. Auf der Registerkarte LDAP-Verzeichnissuche:

    • Geben Sie den Basis-DN ein, der exakt mit dem Wert übereinstimmt, den Sie in StorageGRID für den LDAP-Server eingegeben haben.

    • Wählen Sie für den Suchumfang die Option Subtree aus.

    • Suchen Sie für die Root Object Class nach dem Attribut objectGUID und fügen Sie es hinzu.

  7. Wählen Sie auf der Registerkarte LDAP Binary Attribute Encoding Types Base64 für das Attribut objectGUID aus.

  8. Geben Sie auf der Registerkarte LDAP-Filter sAMAccountName=€{username} ein.

  9. Wählen Sie auf der Registerkarte „Attributvertragserfüllung“ im Dropdown-Menü „Quelle“ die Option LDAP (Attribut) aus und wählen Sie in der Dropdown-Liste Wert die Option objectGUID aus.

  10. Überprüfen und speichern Sie dann die Attributquelle.

  11. Wählen Sie auf der Registerkarte Attributquelle failsave die Option SSO-Transaktion abbrechen aus.

  12. Überprüfen Sie die Zusammenfassung und wählen Sie Fertig.

  13. Wählen Sie * Fertig*.

Konfigurieren von Protokolleinstellungen

  1. Wählen Sie auf der Registerkarte SP-Verbindung Browser SSO Protokolleinstellungen die Option Protokolleinstellungen konfigurieren aus.

  2. Akzeptieren Sie auf der Registerkarte Assertion Consumer Service URL die Standardwerte, die aus den StorageGRID SAML Metadaten importiert wurden (POST für binding und /api/saml-response Für Endpunkt-URL).

  3. Akzeptieren Sie auf der Registerkarte SLO-Dienst-URLs die Standardwerte, die aus den StorageGRID-SAML-Metadaten importiert wurden (REDIRECT für Binding und /api/saml-logout Für Endpunkt-URL.

  4. Heben Sie auf der Registerkarte zulässige SAML-Bindungen die Auswahl von ARTEFAKT und SOAP auf. Es sind nur POST und REDIRECT erforderlich.

  5. Lassen Sie auf der Registerkarte Signature Policy die Kontrollkästchen AUTHN Requests to be sign und always Sign Assertion aktivieren.

  6. Wählen Sie auf der Registerkarte Verschlüsselungsrichtlinie die Option Keine aus.

  7. Überprüfen Sie die Zusammenfassung und wählen Sie Fertig, um die Protokolleinstellungen zu speichern.

  8. Überprüfen Sie die Zusammenfassung und wählen Sie Fertig, um die SSO-Einstellungen des Browsers zu speichern.

Anmeldedaten konfigurieren

  1. Wählen Sie auf der Registerkarte SP-Verbindung die Option Anmeldeinformationen aus.

  2. Wählen Sie auf der Registerkarte Anmeldeinformationen die Option Anmeldeinformationen konfigurieren.

  3. Wählen Sie die aus Signieren des Zertifikats Sie haben erstellt oder importiert.

  4. Wählen Sie Weiter aus, um zu Einstellungen zur Signature-Verifizierung verwalten zu gelangen.

    1. Wählen Sie auf der Registerkarte Vertrauensmodell die Option nicht verankert aus.

    2. Überprüfen Sie auf der Registerkarte Signaturverifizierungszertifikat die Signature Certificate-Informationen, die aus den StorageGRID SAML-Metadaten importiert wurden.

  5. Prüfen Sie die Übersichtsbildschirme und wählen Sie Speichern, um die SP-Verbindung zu speichern.

Erstellen Sie zusätzliche SP-Verbindungen

Sie können die erste SP-Verbindung kopieren, um die für jeden Admin-Node in Ihrem Raster erforderlichen SP-Verbindungen zu erstellen. Sie laden für jede Kopie neue Metadaten hoch.

Hinweis Die SP-Verbindungen für verschiedene Admin-Nodes verwenden identische Einstellungen, mit Ausnahme der Entity-ID des Partners, der Basis-URL, der Verbindungs-ID, des Verbindungsnamens, der Signaturverifizierung, Und SLO Response-URL.
  1. Wählen Sie Aktion Kopieren aus, um für jeden zusätzlichen Admin-Node eine Kopie der anfänglichen SP-Verbindung zu erstellen.

  2. Geben Sie die Verbindungs-ID und den Verbindungsnamen für die Kopie ein, und wählen Sie Speichern.

  3. Wählen Sie die dem Admin-Node entsprechende Metadatendatei:

    1. Wählen Sie Aktion Aktualisieren mit Metadaten.

    2. Wählen Sie Datei auswählen und laden Sie die Metadaten hoch.

    3. Wählen Sie Weiter.

    4. Wählen Sie Speichern.

  4. Beheben Sie den Fehler aufgrund des nicht verwendeten Attributs:

    1. Wählen Sie die neue Verbindung aus.

    2. Wählen Sie Browser SSO konfigurieren Assertion Creation Attributvertrag konfigurieren.

    3. Löschen Sie den Eintrag für Urne:oid.

    4. Wählen Sie Speichern.