Cree conexiones de proveedores de servicios (SP) en PingFederate
Puede utilizar PingFederate para crear una conexión de proveedor de servicios (SP) para cada nodo de administración del sistema. Para acelerar el proceso, importe los metadatos SAML de StorageGRID.
-
Ha configurado el inicio de sesión único para StorageGRID y ha seleccionado Ping federate como tipo de SSO.
-
Modo Sandbox está seleccionado en la página Single Sign-On de Grid Manager. Consulte Utilizar el modo de recinto de seguridad.
-
Tiene el ID de conexión SP para cada nodo de administración de su sistema. Puede encontrar estos valores en la tabla de detalles Admin Nodes en la página StorageGRID Single Sign-On.
-
Ha descargado los metadatos SAML de cada nodo de administración del sistema.
-
Tiene experiencia en la creación de conexiones SP en PingFederate Server.
-
Usted tiene lahttps://docs.pingidentity.com/bundle/pingfederate-103/page/kfj1564002962494.html["Guía de referencia del administrador"^] Para PingFederate Server. La documentación de PingFederate proporciona instrucciones detalladas paso a paso y explicaciones.
-
Tiene el permiso Admin para PingFederate Server.
Estas instrucciones resumen cómo configurar PingFederate Server versión 10.3 como un proveedor SSO para StorageGRID. Si está utilizando otra versión de PingFederate, puede que necesite adaptar estas instrucciones. Consulte la documentación de PingFederate Server para obtener instrucciones detalladas para su publicación.
Complete los requisitos previos en PingFederate
Antes de poder crear las conexiones SP que utilizará para StorageGRID, debe completar las tareas previas en PingFederate. Utilizará la información de estos requisitos previos al configurar las conexiones del SP.
Crear almacén de datos
Si aún no lo ha hecho, cree un almacén de datos para conectar PingFederate al servidor LDAP de AD FS. Utilice los valores que utilizó cuando configurando la federación de identidades En StorageGRID.
-
Tipo: Directorio (LDAP)
-
Tipo LDAP: Active Directory
-
Nombre del atributo binario: Introduzca objectGUID en la ficha atributos binarios LDAP exactamente como se muestra.
Crear validador de credenciales de contraseña
Si todavía no lo ha hecho, cree un validador de credencial de contraseña.
-
Tipo: Validador de credenciales de nombre de usuario de LDAP
-
Almacén de datos: Seleccione el almacén de datos que creó.
-
Search base: Introduzca la información de LDAP (por ejemplo, DC=saml,DC=sgws).
-
Filtro de búsqueda: SAMAccountName=${username}
-
Ámbito: Subárbol
Crear instancia de adaptador IDP[[instancia de adaptador]]
Si todavía no lo ha hecho, cree una instancia de adaptador de IDP.
-
Vaya a autenticación > integración > Adaptadores IDP.
-
Seleccione Crear nueva instancia.
-
En la ficha Tipo, seleccione adaptador IDP de formulario HTML.
-
En la ficha adaptador IDP, seleccione Agregar una nueva fila a 'Validadores de credenciales'.
-
Seleccione la validador de credenciales de contraseña que haya creado.
-
En la ficha atributos del adaptador, seleccione el atributo nombre de usuario para seudónimo.
-
Seleccione Guardar.
Crear o importar un certificado de firma[[certificado de firma]]
Si todavía no lo ha hecho, cree o importe el certificado de firma.
-
Vaya a Seguridad > claves y certificados de firma y descifrado.
-
Cree o importe el certificado de firma.
Cree una conexión SP en PingFederate
Cuando crea una conexión del SP en PingFederate, importe los metadatos SAML que ha descargado de StorageGRID para el nodo de administración. El archivo de metadatos contiene muchos de los valores específicos necesarios.
Debe crear una conexión de SP para cada nodo de administrador en su sistema de StorageGRID, de modo que los usuarios puedan iniciar sesión desde y hacia cualquier nodo de forma segura. Utilice estas instrucciones para crear la primera conexión del SP. A continuación, vaya a. Cree conexiones adicionales del SP para crear las conexiones adicionales que necesite. |
Elija el tipo de conexión del SP
-
Vaya a aplicaciones > integración > conexiones SP.
-
Seleccione Crear conexión.
-
Seleccione no utilice una plantilla para esta conexión.
-
Seleccione Examinador SSO Profiles y SAML 2.0 como protocolo.
Importe los metadatos de SP
-
En la ficha Importar metadatos, seleccione Archivo.
-
Seleccione el archivo de metadatos de SAML que descargó de la página de inicio de sesión único de StorageGRID para el nodo de administrador.
-
Revise el Resumen de metadatos y la información de la ficha Información general.
El ID de entidad del partner y el nombre de conexión se establecen en el ID de conexión de StorageGRID SP. (Por ejemplo, 10.96.105.200-DC1-ADM1-105-200). La URL base es la IP del nodo de administrador de StorageGRID.
-
Seleccione Siguiente.
Configure el SSO del explorador IDP
-
En la ficha SSO del explorador, seleccione Configurar SSO del explorador.
-
En la ficha Perfiles de SAML, seleccione las opciones SSO iniciado por el SP, SLO inicial de SP, SSO iniciado por IDP y SLO iniciado por IDP.
-
Seleccione Siguiente.
-
En la ficha ciclo de vida de las aserción, no realice cambios.
-
En la ficha creación de aserción, seleccione Configurar creación de aserción.
-
En la ficha asignación de identidades, seleccione Estándar.
-
En la ficha Contrato de atributo, utilice el formato SAML_SUBJECT como atributo Contract y el formato de nombre no especificado que se importó.
-
-
Para extender el contrato, seleccione Eliminar para eliminar
urn:oid
, que no se utiliza.
Asigne la instancia del adaptador
-
En la ficha asignación de origen de autenticación, seleccione asignar nueva instancia de adaptador.
-
En la ficha instancias del adaptador, seleccione instancia del adaptador que haya creado.
-
En la ficha método de asignación, seleccione recuperar atributos adicionales de un almacén de datos.
-
En la ficha origen del atributo y Búsqueda del usuario, seleccione Agregar origen del atributo.
-
En la ficha almacén de datos, proporcione una descripción y seleccione almacén de datos usted agregó.
-
En la ficha Búsqueda de directorios LDAP:
-
Introduzca el DN base, que debe coincidir exactamente con el valor especificado en StorageGRID para el servidor LDAP.
-
Para el ámbito de búsqueda, seleccione Subtree.
-
Para la clase de objeto raíz, busque el atributo objectGUID y añádalo.
-
-
En la ficha tipos de codificación de atributos binarios LDAP , seleccione Base64 para el atributo objectGUID .
-
En la ficha filtro LDAP, introduzca sAMAccountName=${username}.
-
En la ficha cumplimiento de contrato de atributo, seleccione LDAP (atributo) en la lista desplegable origen y seleccione objectGUID en la lista desplegable valor.
-
Revise y, a continuación, guarde el origen del atributo.
-
En la ficha origen del atributo Failsave, seleccione Anular la transacción SSO.
-
Revise el resumen y seleccione hecho.
-
Seleccione Listo.
Configure los ajustes de protocolo
-
En la ficha Conexión SP > SSO del navegador > Configuración de protocolo, seleccione Configurar ajustes de protocolo.
-
En la ficha URL del servicio de consumidor de aserción , acepte los valores predeterminados que se importaron desde los metadatos SAML de StorageGRID (POST para el enlace y.
/api/saml-response
Para la URL del extremo). -
En la ficha direcciones URL del servicio SLO , acepte los valores predeterminados, que se importaron desde los metadatos SAML de StorageGRID (REDIRECT para el enlace y.
/api/saml-logout
Para la dirección URL del extremo. -
En la ficha vinculaciones SAML permitidas, anule la selección de ARTEFACTO y SOAP. Sólo se requieren POST y REDIRECT.
-
En la ficha Directiva de firma, deje las casillas de verificación requerir firma de solicitudes y siempre firmar confirmación activadas.
-
En la ficha Directiva de cifrado, seleccione Ninguno.
-
Revise el resumen y seleccione hecho para guardar la configuración del protocolo.
-
Revise el resumen y seleccione hecho para guardar la configuración de SSO del explorador.
Configurar credenciales
-
En la ficha Conexión SP, seleccione credenciales.
-
En la ficha credenciales, seleccione Configurar credenciales.
-
Seleccione la certificado de firma ha creado o importado.
-
Seleccione Siguiente para ir a gestionar ajustes de verificación de firma.
-
En la ficha Modelo de confianza, seleccione sin anclar.
-
En la pestaña Certificado de verificación de firma, revise la información de certificación de firma, que se importó de los metadatos SAML de StorageGRID.
-
-
Revise las pantallas de resumen y seleccione Guardar para guardar la conexión SP.
Cree conexiones adicionales del SP
Puede copiar la primera conexión de SP para crear las conexiones de SP que necesita para cada nodo de administrador de su grid. Se cargan metadatos nuevos para cada copia.
Las conexiones SP para diferentes nodos de administración utilizan valores idénticos, a excepción del ID de entidad del partner, la URL base, el ID de conexión, el nombre de conexión, la verificación de firma, Y URL de respuesta de SLO. |
-
Seleccione Acción > Copiar para crear una copia de la conexión SP inicial para cada nodo de administración adicional.
-
Introduzca el ID de conexión y el nombre de conexión para la copia y seleccione Guardar.
-
Elija el archivo de metadatos que corresponde al nodo de administración:
-
Seleccione Acción > Actualizar con metadatos.
-
Seleccione elegir archivo y cargue los metadatos.
-
Seleccione Siguiente.
-
Seleccione Guardar.
-
-
Resuelva el error debido al atributo no utilizado:
-
Seleccione la nueva conexión.
-
Seleccione Configurar SSO del explorador > Configurar creación de aserción > Contrato de atributo.
-
Elimine la entrada para urn:oid.
-
Seleccione Guardar.
-