Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen von Vertrauensstellungen der vertrauenden Seite in AD FS

PDFs

Sie müssen Active Directory Federation Services (AD FS) verwenden, um für jeden Admin-Knoten in Ihrem System eine Vertrauensstellung der vertrauenden Seite zu erstellen. Sie können Vertrauensstellungen der vertrauenden Seite mithilfe von PowerShell-Befehlen erstellen, indem Sie SAML-Metadaten aus StorageGRID importieren oder die Daten manuell eingeben.

Bevor Sie beginnen

  • Sie haben Single Sign-On für StorageGRID konfiguriert und AD FS als SSO-Typ ausgewählt.

  • Der Sandbox-Modus ist auf der Single Sign-On-Seite im Grid Manager ausgewählt. Sehen "Sandbox-Modus verwenden" .

  • Sie kennen den vollqualifizierten Domänennamen (oder die IP-Adresse) und die Kennung der vertrauenden Partei für jeden Admin-Knoten in Ihrem System. Sie finden diese Werte in der Detailtabelle „Admin-Knoten“ auf der StorageGRID Single-Sign-On-Seite.

    Hinweis Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID -System eine Vertrauensstellung der vertrauenden Partei erstellen. Durch die Einrichtung einer Vertrauensstellung der vertrauenden Partei für jeden Admin-Knoten wird sichergestellt, dass sich Benutzer sicher bei jedem Admin-Knoten an- und abmelden können.

  • Sie haben Erfahrung mit der Erstellung von Vertrauensstellungen vertrauender Parteien in AD FS oder Zugriff auf die Microsoft AD FS-Dokumentation.

  • Sie verwenden das AD FS-Verwaltungs-Snap-In und gehören zur Gruppe „Administratoren“.

  • Wenn Sie die Vertrauensstellung der vertrauenden Seite manuell erstellen, verfügen Sie über das benutzerdefinierte Zertifikat, das für die StorageGRID Verwaltungsschnittstelle hochgeladen wurde, oder Sie wissen, wie Sie sich über die Befehlsshell bei einem Admin-Knoten anmelden.

Informationen zu diesem Vorgang

Diese Anweisungen gelten für Windows Server 2016 AD FS. Wenn Sie eine andere Version von AD FS verwenden, werden Sie leichte Unterschiede im Verfahren feststellen. Bei Fragen lesen Sie die Microsoft AD FS-Dokumentation.

Erstellen einer Vertrauensstellung der vertrauenden Seite mithilfe von Windows PowerShell

Sie können Windows PowerShell verwenden, um schnell eine oder mehrere Vertrauensstellungen der vertrauenden Seite zu erstellen.

Schritte

  1. Wählen Sie im Windows-Startmenü mit der rechten Maustaste das PowerShell-Symbol aus und wählen Sie Als Administrator ausführen.

  2. Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Für Admin_Node_Identifier Geben Sie die Relying Party Identifier für den Admin-Knoten genau so ein, wie sie auf der Single Sign-On-Seite angezeigt wird. Beispiel: SG-DC1-ADM1 .

    • Für Admin_Node_FQDN , geben Sie den vollqualifizierten Domänennamen für denselben Admin-Knoten ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Knotens verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der vertrauenden Partei aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse jemals ändert.)

  3. Wählen Sie im Windows Server Manager Tools > AD FS-Verwaltung.

    Das AD FS-Verwaltungstool wird angezeigt.

  4. Wählen Sie AD FS > Vertrauensstellungen der vertrauenden Seite.

    Die Liste der Vertrauensstellungen der vertrauenden Seite wird angezeigt.

  5. Fügen Sie der neu erstellten Vertrauensstellung der vertrauenden Seite eine Zugriffskontrollrichtlinie hinzu:

    1. Suchen Sie nach der Vertrauensstellung der vertrauenden Partei, die Sie gerade erstellt haben.

    2. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung und wählen Sie Zugriffskontrollrichtlinie bearbeiten.

    3. Wählen Sie eine Zugriffskontrollrichtlinie aus.

    4. Wählen Sie Übernehmen und dann OK

  6. Fügen Sie dem neu erstellten Relying Party Trust eine Claim Issuance Policy hinzu:

    1. Suchen Sie nach der Vertrauensstellung der vertrauenden Partei, die Sie gerade erstellt haben.

    2. Klicken Sie mit der rechten Maustaste auf den Trust und wählen Sie Richtlinie zur Anspruchsausstellung bearbeiten.

    3. Wählen Sie Regel hinzufügen.

    4. Wählen Sie auf der Seite „Regelvorlage auswählen“ aus der Liste „LDAP-Attribute als Ansprüche senden“ aus und klicken Sie auf „Weiter“.

    5. Geben Sie auf der Seite „Regel konfigurieren“ einen Anzeigenamen für diese Regel ein.

      Beispiel: ObjectGUID zu Name-ID oder UPN zu Name-ID.

    6. Wählen Sie für den Attributspeicher Active Directory aus.

    7. Geben Sie in der Spalte „LDAP-Attribut“ der Zuordnungstabelle objectGUID ein oder wählen Sie User-Principal-Name aus.

    8. Wählen Sie in der Spalte „Ausgehender Anspruchstyp“ der Zuordnungstabelle aus der Dropdownliste „Namens-ID“ aus.

    9. Wählen Sie Fertig und dann OK.

  7. Bestätigen Sie, dass die Metadaten erfolgreich importiert wurden.

    1. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, um ihre Eigenschaften zu öffnen.

    2. Bestätigen Sie, dass die Felder auf den Registerkarten Endpunkte, Kennungen und Signatur ausgefüllt sind.

      Wenn die Metadaten fehlen, bestätigen Sie, dass die Federation-Metadatenadresse korrekt ist, oder geben Sie die Werte manuell ein.

  8. Wiederholen Sie diese Schritte, um eine Vertrauensstellung der vertrauenden Partei für alle Admin-Knoten in Ihrem StorageGRID System zu konfigurieren.

  9. Wenn Sie fertig sind, kehren Sie zu StorageGRID zurück und testen Sie alle Vertrauensstellungen der vertrauenden Parteien, um zu bestätigen, dass sie richtig konfiguriert sind. Sehen"Sandbox-Modus verwenden" Anweisungen hierzu finden Sie unter.

Erstellen einer Vertrauensstellung der vertrauenden Seite durch Importieren von Verbundmetadaten

Sie können die Werte für jede Vertrauensstellung der vertrauenden Partei importieren, indem Sie auf die SAML-Metadaten für jeden Admin-Knoten zugreifen.

Schritte

  1. Wählen Sie im Windows Server-Manager Tools und dann AD FS-Verwaltung aus.

  2. Wählen Sie unter „Aktionen“ die Option „Vertrauensstellung der vertrauenden Partei hinzufügen“ aus.

  3. Wählen Sie auf der Willkommensseite Claims aware und dann Start.

  4. Wählen Sie Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei importieren.

  5. Geben Sie unter Federation metadata address (host name or URL) den Speicherort der SAML-Metadaten für diesen Admin-Knoten ein:

    https://Admin_Node_FQDN/api/saml-metadata

    Für Admin_Node_FQDN , geben Sie den vollqualifizierten Domänennamen für denselben Admin-Knoten ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Knotens verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der vertrauenden Partei aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse jemals ändert.)

  6. Schließen Sie den Assistenten „Vertrauensstellung der vertrauenden Seite“ ab, speichern Sie die Vertrauensstellung der vertrauenden Seite und schließen Sie den Assistenten.

    Hinweis Verwenden Sie beim Eingeben des Anzeigenamens die Relying Party Identifier für den Admin-Knoten, genau so, wie sie auf der Single Sign-On-Seite im Grid Manager angezeigt wird. Beispiel: SG-DC1-ADM1 .

  7. Fügen Sie eine Anspruchsregel hinzu:

    1. Klicken Sie mit der rechten Maustaste auf den Trust und wählen Sie Richtlinie zur Anspruchsausstellung bearbeiten.

    2. Wählen Sie Regel hinzufügen:

    3. Wählen Sie auf der Seite „Regelvorlage auswählen“ aus der Liste „LDAP-Attribute als Ansprüche senden“ aus und klicken Sie auf „Weiter“.

    4. Geben Sie auf der Seite „Regel konfigurieren“ einen Anzeigenamen für diese Regel ein.

      Beispiel: ObjectGUID zu Name-ID oder UPN zu Name-ID.

    5. Wählen Sie für den Attributspeicher Active Directory aus.

    6. Geben Sie in der Spalte „LDAP-Attribut“ der Zuordnungstabelle objectGUID ein oder wählen Sie User-Principal-Name aus.

    7. Wählen Sie in der Spalte „Ausgehender Anspruchstyp“ der Zuordnungstabelle aus der Dropdownliste „Namens-ID“ aus.

    8. Wählen Sie Fertig und dann OK.

  8. Bestätigen Sie, dass die Metadaten erfolgreich importiert wurden.

    1. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, um ihre Eigenschaften zu öffnen.

    2. Bestätigen Sie, dass die Felder auf den Registerkarten Endpunkte, Kennungen und Signatur ausgefüllt sind.

      Wenn die Metadaten fehlen, bestätigen Sie, dass die Federation-Metadatenadresse korrekt ist, oder geben Sie die Werte manuell ein.

  9. Wiederholen Sie diese Schritte, um eine Vertrauensstellung der vertrauenden Partei für alle Admin-Knoten in Ihrem StorageGRID System zu konfigurieren.

  10. Wenn Sie fertig sind, kehren Sie zu StorageGRID zurück und testen Sie alle Vertrauensstellungen der vertrauenden Parteien, um zu bestätigen, dass sie richtig konfiguriert sind. Sehen"Sandbox-Modus verwenden" Anweisungen hierzu finden Sie unter.

Manuelles Erstellen einer Vertrauensstellung der vertrauenden Seite

Wenn Sie die Daten für die Vertrauensstellungen des vertrauenden Teils nicht importieren möchten, können Sie die Werte manuell eingeben.

Schritte

  1. Wählen Sie im Windows Server-Manager Tools und dann AD FS-Verwaltung aus.

  2. Wählen Sie unter „Aktionen“ die Option „Vertrauensstellung der vertrauenden Partei hinzufügen“ aus.

  3. Wählen Sie auf der Willkommensseite Claims aware und dann Start.

  4. Wählen Sie Daten zur vertrauenden Partei manuell eingeben und wählen Sie Weiter.

  5. Schließen Sie den Assistenten „Relying Party Trust“ ab:

    1. Geben Sie einen Anzeigenamen für diesen Admin-Knoten ein.

      Verwenden Sie aus Konsistenzgründen die Relying Party Identifier für den Admin-Knoten genau so, wie sie auf der Single Sign-On-Seite im Grid Manager angezeigt wird. Beispiel: SG-DC1-ADM1 .

    2. Überspringen Sie den Schritt zum Konfigurieren eines optionalen Token-Verschlüsselungszertifikats.

    3. Aktivieren Sie auf der Seite „URL konfigurieren“ das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren.

    4. Geben Sie die SAML-Dienstendpunkt-URL für den Admin-Knoten ein:

      https://Admin_Node_FQDN/api/saml-response

      Für Admin_Node_FQDN Geben Sie den vollqualifizierten Domänennamen für den Admin-Knoten ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Knotens verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der vertrauenden Partei aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse jemals ändert.)

    5. Geben Sie auf der Seite „Kennungen konfigurieren“ die Kennung der vertrauenden Partei für denselben Admin-Knoten an:

      Admin_Node_Identifier

      Für Admin_Node_Identifier Geben Sie die Relying Party Identifier für den Admin-Knoten genau so ein, wie sie auf der Single Sign-On-Seite angezeigt wird. Beispiel: SG-DC1-ADM1 .

    6. Überprüfen Sie die Einstellungen, speichern Sie die Vertrauensstellung der vertrauenden Seite und schließen Sie den Assistenten.

      Das Dialogfeld „Richtlinie zur Anspruchsausstellung bearbeiten“ wird angezeigt.

    Hinweis Wenn das Dialogfeld nicht angezeigt wird, klicken Sie mit der rechten Maustaste auf den Trust und wählen Sie Richtlinie zur Anspruchsausstellung bearbeiten.

  6. Um den Anspruchsregel-Assistenten zu starten, wählen Sie Regel hinzufügen:

    1. Wählen Sie auf der Seite „Regelvorlage auswählen“ aus der Liste „LDAP-Attribute als Ansprüche senden“ aus und klicken Sie auf „Weiter“.

    2. Geben Sie auf der Seite „Regel konfigurieren“ einen Anzeigenamen für diese Regel ein.

      Beispiel: ObjectGUID zu Name-ID oder UPN zu Name-ID.

    3. Wählen Sie für den Attributspeicher Active Directory aus.

    4. Geben Sie in der Spalte „LDAP-Attribut“ der Zuordnungstabelle objectGUID ein oder wählen Sie User-Principal-Name aus.

    5. Wählen Sie in der Spalte „Ausgehender Anspruchstyp“ der Zuordnungstabelle aus der Dropdownliste „Namens-ID“ aus.

    6. Wählen Sie Fertig und dann OK.

  7. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, um ihre Eigenschaften zu öffnen.

  8. Konfigurieren Sie auf der Registerkarte Endpunkte den Endpunkt für Single Logout (SLO):

    1. Wählen Sie SAML hinzufügen.

    2. Wählen Sie Endpunkttyp > SAML-Abmeldung.

    3. Wählen Sie Bindung > Umleitung.

    4. Geben Sie im Feld Vertrauenswürdige URL die URL ein, die für die einmalige Abmeldung (SLO) von diesem Admin-Knoten verwendet wird:

      https://Admin_Node_FQDN/api/saml-logout

    Für Admin_Node_FQDN Geben Sie den vollqualifizierten Domänennamen des Admin-Knotens ein. (Bei Bedarf können Sie stattdessen die IP-Adresse des Knotens verwenden. Wenn Sie hier jedoch eine IP-Adresse eingeben, beachten Sie, dass Sie dieses Vertrauen der vertrauenden Partei aktualisieren oder neu erstellen müssen, wenn sich diese IP-Adresse jemals ändert.)

    1. Wählen Sie OK.

  9. Geben Sie auf der Registerkarte Signatur das Signaturzertifikat für diese Vertrauensstellung der vertrauenden Seite an:

    1. Fügen Sie das benutzerdefinierte Zertifikat hinzu:

      • Wenn Sie über das benutzerdefinierte Verwaltungszertifikat verfügen, das Sie in StorageGRID hochgeladen haben, wählen Sie dieses Zertifikat aus.

      • Wenn Sie nicht über das benutzerdefinierte Zertifikat verfügen, melden Sie sich beim Admin-Knoten an, gehen Sie zu /var/local/mgmt-api Verzeichnis des Admin-Knotens und fügen Sie die custom-server.crt Zertifikatsdatei.

        Hinweis Verwenden des Standardzertifikats des Admin-Knotens(server.crt ) wird nicht empfohlen. Wenn der Admin-Knoten ausfällt, wird das Standardzertifikat neu generiert, wenn Sie den Knoten wiederherstellen, und Sie müssen das Vertrauen der vertrauenden Seite aktualisieren.

    2. Wählen Sie Übernehmen und dann OK.

      Die Eigenschaften der vertrauenden Partei werden gespeichert und geschlossen.

  10. Wiederholen Sie diese Schritte, um eine Vertrauensstellung der vertrauenden Partei für alle Admin-Knoten in Ihrem StorageGRID System zu konfigurieren.

  11. Wenn Sie fertig sind, kehren Sie zu StorageGRID zurück und testen Sie alle Vertrauensstellungen der vertrauenden Parteien, um zu bestätigen, dass sie richtig konfiguriert sind. Sehen"Sandbox-Modus verwenden" Anweisungen hierzu finden Sie unter.