Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créer des connexions de fournisseur de services (SP) dans PingFederate

PDF

Vous utilisez PingFederate pour créer une connexion de fournisseur de services (SP) pour chaque nœud d'administration de votre système. Pour accélérer le processus, vous importerez les métadonnées SAML depuis StorageGRID.

Avant de commencer

  • Vous avez configuré l’authentification unique pour StorageGRID et vous avez sélectionné Ping Federate comme type d’authentification unique.

  • Le mode Sandbox est sélectionné sur la page d'authentification unique dans Grid Manager. Voir "Utiliser le mode sandbox" .

  • Vous disposez de l'*ID de connexion SP * pour chaque nœud d'administration de votre système. Vous pouvez trouver ces valeurs dans le tableau détaillé des nœuds d’administration sur la page d’authentification unique StorageGRID .

  • Vous avez téléchargé les métadonnées SAML pour chaque nœud d'administration de votre système.

  • Vous avez de l’expérience dans la création de connexions SP dans PingFederate Server.

  • Vous avez lehttps://docs.pingidentity.com/pingfederate/latest/administrators_reference_guide/pf_administrators_reference_guide.html["Guide de référence de l'administrateur"^] pour le serveur PingFederate. La documentation de PingFederate fournit des instructions et des explications détaillées étape par étape.

  • Vous avez le"Autorisation d'administrateur" pour le serveur PingFederate.

À propos de cette tâche

Ces instructions résument comment configurer PingFederate Server version 10.3 en tant que fournisseur SSO pour StorageGRID. Si vous utilisez une autre version de PingFederate, vous devrez peut-être adapter ces instructions. Reportez-vous à la documentation du serveur PingFederate pour obtenir des instructions détaillées pour votre version.

Prérequis complets dans PingFederate

Avant de pouvoir créer les connexions SP que vous utiliserez pour StorageGRID, vous devez effectuer les tâches préalables dans PingFederate. Vous utiliserez les informations de ces prérequis lorsque vous configurerez les connexions SP .

Créer un magasin de données

Si vous ne l’avez pas déjà fait, créez un magasin de données pour connecter PingFederate au serveur LDAP AD FS. Utilisez les valeurs que vous avez utilisées lorsque"configuration de la fédération d'identité" dans StorageGRID.

  • Type : Répertoire (LDAP)

  • Type LDAP : Active Directory

  • Nom de l'attribut binaire : saisissez objectGUID dans l'onglet Attributs binaires LDAP exactement comme indiqué.

Créer un validateur d'informations d'identification de mot de passe

Si vous ne l’avez pas déjà fait, créez un validateur d’informations d’identification de mot de passe.

  • Type : Validateur d'informations d'identification de mot de passe de nom d'utilisateur LDAP

  • Magasin de données : sélectionnez le magasin de données que vous avez créé.

  • Base de recherche : saisissez les informations de LDAP (par exemple, DC=saml,DC=sgws).

  • Filtre de recherche : sAMAccountName=${username}

  • Portée : Sous-arbre

Créer une instance d'adaptateur IdP

Si vous ne l’avez pas déjà fait, créez une instance d’adaptateur IdP.

Étapes

  1. Accédez à Authentification > Intégration > Adaptateurs IdP.

  2. Sélectionnez Créer une nouvelle instance.

  3. Dans l’onglet Type, sélectionnez Adaptateur IdP de formulaire HTML.

  4. Dans l'onglet Adaptateur IdP, sélectionnez Ajouter une nouvelle ligne à « Validateurs d'informations d'identification ».

  5. Sélectionnez levalidateur d'informations d'identification de mot de passe tu as créé.

  6. Dans l’onglet Attributs de l’adaptateur, sélectionnez l’attribut username pour Pseudonyme.

  7. Sélectionnez Enregistrer.

Créer ou importer un certificat de signature

Si vous ne l’avez pas déjà fait, créez ou importez le certificat de signature.

Étapes

  1. Accédez à Sécurité > Clés et certificats de signature et de déchiffrement.

  2. Créez ou importez le certificat de signature.

Créer une connexion SP dans PingFederate

Lorsque vous créez une connexion SP dans PingFederate, vous importez les métadonnées SAML que vous avez téléchargées à partir de StorageGRID pour le nœud d'administration. Le fichier de métadonnées contient de nombreuses valeurs spécifiques dont vous avez besoin.

Astuce Vous devez créer une connexion SP pour chaque nœud d'administration de votre système StorageGRID , afin que les utilisateurs puissent se connecter et se déconnecter en toute sécurité de n'importe quel nœud. Utilisez ces instructions pour créer la première connexion SP . Ensuite, allez àCréer des connexions SP supplémentaires pour créer toutes les connexions supplémentaires dont vous avez besoin.

Choisissez le type de connexion SP

Étapes

  1. Accédez à Applications > Intégration > *Connexions SP *.

  2. Sélectionnez Créer une connexion.

  3. Sélectionnez Ne pas utiliser de modèle pour cette connexion.

  4. Sélectionnez Profils SSO du navigateur et SAML 2.0 comme protocole.

Importer les métadonnées SP

Étapes

  1. Dans l’onglet Importer des métadonnées, sélectionnez Fichier.

  2. Choisissez le fichier de métadonnées SAML que vous avez téléchargé à partir de la page d’authentification unique StorageGRID pour le nœud d’administration.

  3. Consultez le résumé des métadonnées et les informations fournies dans l’onglet Informations générales.

    L'ID d'entité du partenaire et le nom de connexion sont définis sur l'ID de connexion StorageGRID SP . (par exemple, 10.96.105.200-DC1-ADM1-105-200). L'URL de base est l'IP du nœud d'administration StorageGRID .

  4. Sélectionnez Suivant.

Configurer l'authentification unique du navigateur IdP

Étapes

  1. Dans l’onglet SSO du navigateur, sélectionnez Configurer SSO du navigateur.

  2. Dans l'onglet Profils SAML, sélectionnez les options * SP-initiated SSO*, * SP-initial SLO*, IdP-initiated SSO et IdP-initiated SLO.

  3. Sélectionnez Suivant.

  4. Dans l’onglet Durée de vie de l’assertion, n’apportez aucune modification.

  5. Dans l’onglet Création d’assertion, sélectionnez Configurer la création d’assertion.

    1. Dans l’onglet Mappage d’identité, sélectionnez Standard.

    2. Dans l’onglet Contrat d’attribut, utilisez SAML_SUBJECT comme contrat d’attribut et le format de nom non spécifié qui a été importé.

  6. Pour prolonger le contrat, sélectionnez Supprimer pour supprimer le urn:oid , qui n'est pas utilisé.

Instance d'adaptateur de carte

Étapes

  1. Dans l’onglet Mappage de la source d’authentification, sélectionnez Mapper une nouvelle instance d’adaptateur.

  2. Dans l’onglet Instance de l’adaptateur, sélectionnez l’instance d'adaptateur tu as créé.

  3. Dans l’onglet Méthode de mappage, sélectionnez Récupérer des attributs supplémentaires à partir d’un magasin de données.

  4. Dans l’onglet Source d’attribut et recherche d’utilisateur, sélectionnez Ajouter une source d’attribut.

  5. Dans l’onglet Magasin de données, fournissez une description et sélectionnez l’optionmagasin de données tu as ajouté.

  6. Dans l’onglet Recherche d’annuaire LDAP :

    • Saisissez le DN de base, qui doit correspondre exactement à la valeur que vous avez saisie dans StorageGRID pour le serveur LDAP.

    • Pour la portée de la recherche, sélectionnez Sous-arbre.

    • Pour la classe d'objet racine, recherchez et ajoutez l'un de ces attributs : objectGUID ou userPrincipalName.

  7. Dans l’onglet Types de codage d’attribut binaire LDAP, sélectionnez Base64 pour l’attribut objectGUID.

  8. Dans l’onglet Filtre LDAP, saisissez sAMAccountName=${username}.

  9. Dans l'onglet Exécution du contrat d'attribut, sélectionnez LDAP (attribut) dans la liste déroulante Source et sélectionnez objectGUID ou userPrincipalName dans la liste déroulante Valeur.

  10. Vérifiez puis enregistrez la source de l’attribut.

  11. Dans l’onglet Source d’attribut Failsave, sélectionnez Annuler la transaction SSO.

  12. Consultez le résumé et sélectionnez Terminé.

  13. Sélectionnez Terminé.

Configurer les paramètres du protocole

Étapes

  1. Dans l'onglet * Connexion SP * > * SSO du navigateur* > * Paramètres du protocole*, sélectionnez * Configurer les paramètres du protocole*.

  2. Dans l'onglet URL du service consommateur d'assertions, acceptez les valeurs par défaut, qui ont été importées à partir des métadonnées SAML StorageGRID (POST pour la liaison et /api/saml-response pour l'URL du point de terminaison).

  3. Dans l'onglet URL du service SLO, acceptez les valeurs par défaut, qui ont été importées à partir des métadonnées SAML StorageGRID (REDIRECT pour la liaison et /api/saml-logout pour l'URL du point de terminaison.

  4. Dans l’onglet Liaisons SAML autorisées, décochez ARTIFACT et SOAP. Seuls POST et REDIRECT sont obligatoires.

  5. Dans l'onglet Politique de signature, laissez les cases à cocher Exiger que les demandes d'authentification soient signées et Toujours signer l'assertion sélectionnées.

  6. Dans l’onglet Politique de chiffrement, sélectionnez Aucun.

  7. Consultez le résumé et sélectionnez Terminé pour enregistrer les paramètres du protocole.

  8. Consultez le résumé et sélectionnez Terminé pour enregistrer les paramètres SSO du navigateur.

Configurer les informations d'identification

Étapes

  1. Dans l’onglet Connexion SP , sélectionnez Informations d’identification.

  2. Dans l’onglet Informations d’identification, sélectionnez Configurer les informations d’identification.

  3. Sélectionnez lecertificat de signature vous avez créé ou importé.

  4. Sélectionnez Suivant pour accéder à Gérer les paramètres de vérification de signature.

    1. Dans l’onglet Modèle de confiance, sélectionnez Non ancré.

    2. Dans l’onglet Certificat de vérification de signature, vérifiez les informations du certificat de signature, qui ont été importées à partir des métadonnées SAML StorageGRID .

  5. Consultez les écrans récapitulatifs et sélectionnez Enregistrer pour enregistrer la connexion SP .

Créer des connexions SP supplémentaires

Vous pouvez copier la première connexion SP pour créer les connexions SP dont vous avez besoin pour chaque nœud d'administration de votre grille. Vous téléchargez de nouvelles métadonnées pour chaque copie.

Remarque Les connexions SP pour différents nœuds d'administration utilisent des paramètres identiques, à l'exception de l'ID d'entité du partenaire, de l'URL de base, de l'ID de connexion, du nom de connexion, de la vérification de la signature et de l'URL de réponse SLO.
Étapes

  1. Sélectionnez Action > Copier pour créer une copie de la connexion SP initiale pour chaque nœud d'administration supplémentaire.

  2. Saisissez l'ID de connexion et le nom de connexion pour la copie, puis sélectionnez Enregistrer.

  3. Choisissez le fichier de métadonnées correspondant au nœud d'administration :

    1. Sélectionnez Action > Mettre à jour avec les métadonnées.

    2. Sélectionnez Choisir un fichier et téléchargez les métadonnées.

    3. Sélectionnez Suivant.

    4. Sélectionnez Enregistrer.

  4. Résoudre l’erreur due à l’attribut inutilisé :

    1. Sélectionnez la nouvelle connexion.

    2. Sélectionnez Configurer l'authentification unique du navigateur > Configurer la création d'assertions > Contrat d'attribut.

    3. Supprimez l'entrée pour urn:oid.

    4. Sélectionnez Enregistrer.