Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cree conexiones de proveedores de servicios (SP) en PingFederate

Colaboradores
PDF

Puede utilizar PingFederate para crear una conexión de proveedor de servicios (SP) para cada nodo de administración del sistema. Para acelerar el proceso, importe los metadatos SAML de StorageGRID.

Antes de empezar

  • Ha configurado el inicio de sesión único para StorageGRID y ha seleccionado Ping federate como tipo de SSO.

  • Modo Sandbox está seleccionado en la página Single Sign-On de Grid Manager. Consulte "Utilizar el modo de recinto de seguridad".

  • Tiene el ID de conexión SP para cada nodo de administración de su sistema. Puede encontrar estos valores en la tabla de detalles Admin Nodes en la página StorageGRID Single Sign-On.

  • Ha descargado los metadatos SAML de cada nodo de administración del sistema.

  • Tiene experiencia en la creación de conexiones SP en PingFederate Server.

  • Tiene el "Guía de referencia del administrador"servidor FOR PingFederate. La documentación de PingFederate proporciona instrucciones detalladas paso a paso y explicaciones.

  • Tiene el "Permiso de administrador"servidor FOR PingFederate.

Acerca de esta tarea

Estas instrucciones resumen cómo configurar PingFederate Server versión 10.3 como un proveedor SSO para StorageGRID. Si está utilizando otra versión de PingFederate, puede que necesite adaptar estas instrucciones. Consulte la documentación de PingFederate Server para obtener instrucciones detalladas para su publicación.

Complete los requisitos previos en PingFederate

Antes de poder crear las conexiones SP que utilizará para StorageGRID, debe completar las tareas previas en PingFederate. Utilizará la información de estos requisitos previos al configurar las conexiones del SP.

Crear almacén de datos

Si aún no lo ha hecho, cree un almacén de datos para conectar PingFederate al servidor LDAP de AD FS. Use los valores que utilizó en "configurando la federación de identidades"StorageGRID.

  • Tipo: Directorio (LDAP)

  • Tipo LDAP: Active Directory

  • Nombre del atributo binario: Introduzca objectGUID en la ficha atributos binarios LDAP exactamente como se muestra.

Crear validador de credenciales de contraseña

Si todavía no lo ha hecho, cree un validador de credencial de contraseña.

  • Tipo: Validador de credenciales de nombre de usuario de LDAP

  • Almacén de datos: Seleccione el almacén de datos que creó.

  • Search base: Introduzca la información de LDAP (por ejemplo, DC=saml,DC=sgws).

  • Filtro de búsqueda: SAMAccountName=${username}

  • Ámbito: Subárbol

Crear instancia de adaptador IDP[[instancia de adaptador]]

Si todavía no lo ha hecho, cree una instancia de adaptador de IDP.

Pasos

  1. Vaya a autenticación > integración > Adaptadores IDP.

  2. Seleccione Crear nueva instancia.

  3. En la ficha Tipo, seleccione adaptador IDP de formulario HTML.

  4. En la ficha adaptador IDP, seleccione Agregar una nueva fila a 'Validadores de credenciales'.

  5. Seleccione el validador de credenciales de contraseña que ha creado.

  6. En la ficha atributos del adaptador, seleccione el atributo nombre de usuario para seudónimo.

  7. Seleccione Guardar.

Crear o importar un certificado de firma[[certificado de firma]]

Si todavía no lo ha hecho, cree o importe el certificado de firma.

Pasos

  1. Vaya a Seguridad > claves y certificados de firma y descifrado.

  2. Cree o importe el certificado de firma.

Cree una conexión SP en PingFederate

Cuando crea una conexión del SP en PingFederate, importe los metadatos SAML que ha descargado de StorageGRID para el nodo de administración. El archivo de metadatos contiene muchos de los valores específicos necesarios.

Consejo Debe crear una conexión de SP para cada nodo de administrador en su sistema de StorageGRID, de modo que los usuarios puedan iniciar sesión desde y hacia cualquier nodo de forma segura. Utilice estas instrucciones para crear la primera conexión del SP. A continuación, vaya a Cree conexiones adicionales del SP para crear las conexiones adicionales que necesite.

Elija el tipo de conexión del SP

Pasos

  1. Vaya a aplicaciones > integración > conexiones SP.

  2. Seleccione Crear conexión.

  3. Seleccione no utilice una plantilla para esta conexión.

  4. Seleccione Examinador SSO Profiles y SAML 2.0 como protocolo.

Importe los metadatos de SP

Pasos

  1. En la ficha Importar metadatos, seleccione Archivo.

  2. Seleccione el archivo de metadatos de SAML que descargó de la página de inicio de sesión único de StorageGRID para el nodo de administrador.

  3. Revise el resumen de metadatos y la información proporcionada en la pestaña Información general.

    El ID de entidad del partner y el nombre de conexión se establecen en el ID de conexión de StorageGRID SP. (Por ejemplo, 10.96.105.200-DC1-ADM1-105-200). La URL base es la IP del nodo de administrador de StorageGRID.

  4. Seleccione Siguiente.

Configure el SSO del explorador IDP

Pasos

  1. En la ficha SSO del explorador, seleccione Configurar SSO del explorador.

  2. En la ficha Perfiles de SAML, seleccione las opciones SSO iniciado por el SP, SLO inicial de SP, SSO iniciado por IDP y SLO iniciado por IDP.

  3. Seleccione Siguiente.

  4. En la ficha ciclo de vida de las aserción, no realice cambios.

  5. En la ficha creación de aserción, seleccione Configurar creación de aserción.

    1. En la ficha asignación de identidades, seleccione Estándar.

    2. En la ficha Contrato de atributo, utilice el formato SAML_SUBJECT como atributo Contract y el formato de nombre no especificado que se importó.

  6. Para Extender el contrato, seleccione Eliminar para eliminar el urn:oid, que no se utiliza.

Asigne la instancia del adaptador

Pasos

  1. En la ficha asignación de origen de autenticación, seleccione asignar nueva instancia de adaptador.

  2. En el separador Instancia de Adaptador, seleccione el instancia del adaptador que ha creado.

  3. En la ficha método de asignación, seleccione recuperar atributos adicionales de un almacén de datos.

  4. En la ficha origen del atributo y Búsqueda del usuario, seleccione Agregar origen del atributo.

  5. En la pestaña Almacén de datos, proporcione una descripción y seleccione la que almacén de datos ha agregado.

  6. En la ficha Búsqueda de directorios LDAP:

    • Introduzca el DN base, que debe coincidir exactamente con el valor especificado en StorageGRID para el servidor LDAP.

    • Para el ámbito de búsqueda, seleccione Subtree.

    • Para la clase de objeto raíz, busque y agregue cualquiera de estos atributos: ObjectGUID o userPrincipalName.

  7. En la ficha tipos de codificación de atributos binarios LDAP , seleccione Base64 para el atributo objectGUID .

  8. En la ficha filtro LDAP, introduzca sAMAccountName=${username}.

  9. En la pestaña Cumplimiento de contrato de atributo, seleccione LDAP (atributo) en la lista desplegable Origen y seleccione objectGUID o userPrincipalName en la lista desplegable Valor.

  10. Revise y, a continuación, guarde el origen del atributo.

  11. En la ficha origen del atributo Failsave, seleccione Anular la transacción SSO.

  12. Revise el resumen y seleccione hecho.

  13. Seleccione Listo.

Configure los ajustes de protocolo

Pasos

  1. En la ficha Conexión SP > SSO del navegador > Configuración de protocolo, seleccione Configurar ajustes de protocolo.

  2. En la pestaña URL de servicio al consumidor de aserción, acepte los valores predeterminados, que se importaron desde los metadatos de SAML de StorageGRID (POST para enlace y /api/saml-response para URL de punto final).

  3. En la pestaña URL del servicio de SLO, acepte los valores predeterminados, que se importaron desde los metadatos de SAML de StorageGRID (REDIRECT para enlace y /api/saml-logout para URL de punto final.

  4. En la pestaña Enlaces SAML permitidos, desactive ARTEFACTO y SOAP. Sólo se requieren POST y REDIRECT.

  5. En la pestaña Política de firma, deje las casillas de verificación Requerir que se firmen las solicitudes AUTHN y Siempre firmar afirmación seleccionadas.

  6. En la ficha Directiva de cifrado, seleccione Ninguno.

  7. Revise el resumen y seleccione hecho para guardar la configuración del protocolo.

  8. Revise el resumen y seleccione hecho para guardar la configuración de SSO del explorador.

Configurar credenciales

Pasos

  1. En la ficha Conexión SP, seleccione credenciales.

  2. En la ficha credenciales, seleccione Configurar credenciales.

  3. Seleccione el certificado de firma que ha creado o importado.

  4. Seleccione Siguiente para ir a gestionar ajustes de verificación de firma.

    1. En la ficha Modelo de confianza, seleccione sin anclar.

    2. En la pestaña Certificado de verificación de firma, revise la información de certificación de firma, que se importó de los metadatos SAML de StorageGRID.

  5. Revise las pantallas de resumen y seleccione Guardar para guardar la conexión SP.

Cree conexiones adicionales del SP

Puede copiar la primera conexión de SP para crear las conexiones de SP que necesita para cada nodo de administrador de su grid. Se cargan metadatos nuevos para cada copia.

Nota Las conexiones SP para diferentes nodos de administración utilizan valores idénticos, a excepción del ID de entidad del partner, la URL base, el ID de conexión, el nombre de conexión, la verificación de firma, Y URL de respuesta de SLO.
Pasos

  1. Seleccione Acción > Copiar para crear una copia de la conexión SP inicial para cada nodo de administración adicional.

  2. Introduzca el ID de conexión y el nombre de conexión para la copia y seleccione Guardar.

  3. Elija el archivo de metadatos que corresponde al nodo de administración:

    1. Seleccione Acción > Actualizar con metadatos.

    2. Seleccione elegir archivo y cargue los metadatos.

    3. Seleccione Siguiente.

    4. Seleccione Guardar.

  4. Resuelva el error debido al atributo no utilizado:

    1. Seleccione la nueva conexión.

    2. Seleccione Configurar SSO del explorador > Configurar creación de aserción > Contrato de atributo.

    3. Elimine la entrada para urn:oid.

    4. Seleccione Guardar.