Creazione di trust per la parte di base in ad FS
È necessario utilizzare Active Directory Federation Services (ad FS) per creare un trust di parte per ciascun nodo di amministrazione nel sistema. È possibile creare trust di parti che utilizzano i comandi PowerShell, importando metadati SAML da StorageGRID o immettendo i dati manualmente.
Creazione di un trust di parte che si basa utilizzando Windows PowerShell
È possibile utilizzare Windows PowerShell per creare rapidamente uno o più trust di parti.
-
L'SSO è stato configurato in StorageGRID e si conoscono il nome di dominio completo (o l'indirizzo IP) e l'identificativo della parte di base per ciascun nodo amministratore del sistema.
È necessario creare un trust per ciascun nodo amministratore nel sistema StorageGRID. La disponibilità di un trust per ciascun nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione. -
Si dispone di esperienza nella creazione di trust di parti di supporto in ad FS o si dispone dell'accesso alla documentazione di Microsoft ad FS.
-
Si sta utilizzando lo snap-in di gestione di ad FS e si appartiene al gruppo Administrators.
Queste istruzioni si applicano ad FS 4.0, incluso in Windows Server 2016. Se si utilizza ad FS 3.0, incluso in Windows 2012 R2, si noteranno lievi differenze nella procedura. In caso di domande, consultare la documentazione di Microsoft ad FS.
-
Dal menu Start di Windows, fare clic con il pulsante destro del mouse sull'icona PowerShell e selezionare Esegui come amministratore.
-
Al prompt dei comandi di PowerShell, immettere il seguente comando:
Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
-
Per
Admin_Node_Identifier
, Immettere l'identificativo della parte di base per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on. Ad esempio,SG-DC1-ADM1
. -
Per
Admin_Node_FQDN
, Immettere il nome di dominio completo per lo stesso nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia).
-
-
Da Gestione server Windows, selezionare Strumenti Gestione di ad FS.
Viene visualizzato lo strumento di gestione di ad FS.
-
Selezionare ad FS Trust di parte di base.
Viene visualizzato l'elenco dei trust della parte che si basa.
-
Aggiungere un criterio di controllo degli accessi al trust della parte di base appena creato:
-
Individuare la fiducia della parte di base appena creata.
-
Fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit Access Control Policy (Modifica policy di controllo degli accessi).
-
Selezionare un criterio di controllo degli accessi.
-
Fare clic su Apply (Applica), quindi su OK
-
-
Aggiungere una policy di emissione delle richieste di rimborso al nuovo Trust della parte di base creato:
-
Individuare la fiducia della parte di base appena creata.
-
Fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit claim issuance policy (Modifica policy di emissione richiesta di rimborso).
-
Fare clic su Aggiungi regola.
-
Nella pagina Select Rule Template (Seleziona modello di regola), selezionare Send LDAP Attributes as Claims (Invia attributi LDAP come richieste) dall'elenco e fare clic su Next (Avanti).
-
Nella pagina Configure Rule (Configura regola), immettere un nome da visualizzare per questa regola.
Ad esempio, da objectGUID a ID nome.
-
Per l'archivio attributi, selezionare Active Directory.
-
Nella colonna LDAP Attribute della tabella Mapping, digitare objectGUID.
-
Nella colonna Outgoing Claim Type (tipo di richiesta di rimborso in uscita) della tabella Mapping (mappatura), selezionare Name ID (ID nome) dall'elenco a discesa.
-
Fare clic su fine, quindi su OK.
-
-
Verificare che i metadati siano stati importati correttamente.
-
Fare clic con il pulsante destro del mouse sull'attendibilità della parte che si basa per aprirne le proprietà.
-
Verificare che i campi nelle schede endpoint, identificatori e Firma siano compilati.
Se i metadati non sono presenti, verificare che l'indirizzo dei metadati della federazione sia corretto o semplicemente inserire i valori manualmente.
-
-
Ripetere questa procedura per configurare un trust per tutti i nodi di amministrazione nel sistema StorageGRID.
-
Al termine, tornare a StorageGRID e. "verificare tutti i trust delle parti di base" per confermare che sono configurati correttamente.
Creazione di un trust per la parte che si basa importando metadati di federazione
È possibile importare i valori per ciascun trust di parte che si basa accedendo ai metadati SAML per ciascun nodo di amministrazione.
-
L'SSO è stato configurato in StorageGRID e si conoscono il nome di dominio completo (o l'indirizzo IP) e l'identificativo della parte di base per ciascun nodo amministratore del sistema.
È necessario creare un trust per ciascun nodo amministratore nel sistema StorageGRID. La disponibilità di un trust per ciascun nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione. -
Si dispone di esperienza nella creazione di trust di parti di supporto in ad FS o si dispone dell'accesso alla documentazione di Microsoft ad FS.
-
Si sta utilizzando lo snap-in di gestione di ad FS e si appartiene al gruppo Administrators.
Queste istruzioni si applicano ad FS 4.0, incluso in Windows Server 2016. Se si utilizza ad FS 3.0, incluso in Windows 2012 R2, si noteranno lievi differenze nella procedura. In caso di domande, consultare la documentazione di Microsoft ad FS.
-
In Gestione server Windows, fare clic su Strumenti, quindi selezionare Gestione di ad FS.
-
In azioni, fare clic su Aggiungi fiducia parte di base.
-
Nella pagina di benvenuto, scegliere Richieste di rimborso e fare clic su Avvia.
-
Selezionare Importa dati relativi alla parte che si basa pubblicati online o su una rete locale.
-
In Federation metadata address (nome host o URL), digitare la posizione dei metadati SAML per questo nodo di amministrazione:
https://Admin_Node_FQDN/api/saml-metadata
Per
Admin_Node_FQDN
, Immettere il nome di dominio completo per lo stesso nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia). -
Completare la procedura guidata Trust Party, salvare il trust della parte che si basa e chiudere la procedura guidata.
Quando si immette il nome visualizzato, utilizzare l'identificativo parte di base per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on in Grid Manager. Ad esempio, SG-DC1-ADM1
. -
Aggiungere una regola di richiesta di rimborso:
-
Fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit claim issuance policy (Modifica policy di emissione richiesta di rimborso).
-
Fare clic su Aggiungi regola:
-
Nella pagina Select Rule Template (Seleziona modello di regola), selezionare Send LDAP Attributes as Claims (Invia attributi LDAP come richieste) dall'elenco e fare clic su Next (Avanti).
-
Nella pagina Configure Rule (Configura regola), immettere un nome da visualizzare per questa regola.
Ad esempio, da objectGUID a ID nome.
-
Per l'archivio attributi, selezionare Active Directory.
-
Nella colonna LDAP Attribute della tabella Mapping, digitare objectGUID.
-
Nella colonna Outgoing Claim Type (tipo di richiesta di rimborso in uscita) della tabella Mapping (mappatura), selezionare Name ID (ID nome) dall'elenco a discesa.
-
Fare clic su fine, quindi su OK.
-
-
Verificare che i metadati siano stati importati correttamente.
-
Fare clic con il pulsante destro del mouse sull'attendibilità della parte che si basa per aprirne le proprietà.
-
Verificare che i campi nelle schede endpoint, identificatori e Firma siano compilati.
Se i metadati non sono presenti, verificare che l'indirizzo dei metadati della federazione sia corretto o semplicemente inserire i valori manualmente.
-
-
Ripetere questa procedura per configurare un trust per tutti i nodi di amministrazione nel sistema StorageGRID.
-
Al termine, tornare a StorageGRID e. "verificare tutti i trust delle parti di base" per confermare che sono configurati correttamente.
Creazione manuale di un trust per la parte che si basa
Se si sceglie di non importare i dati per i trust della parte di base, è possibile inserire i valori manualmente.
-
L'SSO è stato configurato in StorageGRID e si conoscono il nome di dominio completo (o l'indirizzo IP) e l'identificativo della parte di base per ciascun nodo amministratore del sistema.
È necessario creare un trust per ciascun nodo amministratore nel sistema StorageGRID. La disponibilità di un trust per ciascun nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione. -
Si dispone del certificato personalizzato caricato per l'interfaccia di gestione di StorageGRID oppure si sa come accedere a un nodo amministratore dalla shell dei comandi.
-
Si dispone di esperienza nella creazione di trust di parti di supporto in ad FS o si dispone dell'accesso alla documentazione di Microsoft ad FS.
-
Si sta utilizzando lo snap-in di gestione di ad FS e si appartiene al gruppo Administrators.
Queste istruzioni si applicano ad FS 4.0, incluso in Windows Server 2016. Se si utilizza ad FS 3.0, incluso in Windows 2012 R2, si noteranno lievi differenze nella procedura. In caso di domande, consultare la documentazione di Microsoft ad FS.
-
In Gestione server Windows, fare clic su Strumenti, quindi selezionare Gestione di ad FS.
-
In azioni, fare clic su Aggiungi fiducia parte di base.
-
Nella pagina di benvenuto, scegliere Richieste di rimborso e fare clic su Avvia.
-
Selezionare inserire manualmente i dati relativi alla parte di base e fare clic su Avanti.
-
Completare la procedura guidata Trust Party:
-
Immettere un nome visualizzato per questo nodo di amministrazione.
Per coerenza, utilizzare l'identificativo parte di base per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on in Grid Manager. Ad esempio,
SG-DC1-ADM1
. -
Saltare il passaggio per configurare un certificato di crittografia token opzionale.
-
Nella pagina Configure URL (Configura URL), selezionare la casella di controllo Enable support for the SAML 2.0 WebSSO Protocol (attiva supporto per il protocollo SAML WebSSO).
-
Digitare l'URL dell'endpoint del servizio SAML per il nodo di amministrazione:
https://Admin_Node_FQDN/api/saml-response
Per
Admin_Node_FQDN
, Immettere il nome di dominio completo per il nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia). -
Nella pagina Configure Identifier (Configura identificatori), specificare l'identificativo della parte di base per lo stesso nodo di amministrazione:
Admin_Node_Identifier
Per
Admin_Node_Identifier
, Immettere l'identificativo della parte di base per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on. Ad esempio,SG-DC1-ADM1
. -
Rivedere le impostazioni, salvare l'attendibilità della parte che si basa e chiudere la procedura guidata.
Viene visualizzata la finestra di dialogo Edit Claim Issuance Policy (Modifica policy di emissione richieste di
Se la finestra di dialogo non viene visualizzata, fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit claim issuance policy (Modifica policy di emissione richiesta di rimborso). -
-
Per avviare la procedura guidata Claim Rule, fare clic su Add Rule:
-
Nella pagina Select Rule Template (Seleziona modello di regola), selezionare Send LDAP Attributes as Claims (Invia attributi LDAP come richieste) dall'elenco e fare clic su Next (Avanti).
-
Nella pagina Configure Rule (Configura regola), immettere un nome da visualizzare per questa regola.
Ad esempio, da objectGUID a ID nome.
-
Per l'archivio attributi, selezionare Active Directory.
-
Nella colonna LDAP Attribute della tabella Mapping, digitare objectGUID.
-
Nella colonna Outgoing Claim Type (tipo di richiesta di rimborso in uscita) della tabella Mapping (mappatura), selezionare Name ID (ID nome) dall'elenco a discesa.
-
Fare clic su fine, quindi su OK.
-
-
Fare clic con il pulsante destro del mouse sull'attendibilità della parte che si basa per aprirne le proprietà.
-
Nella scheda Endpoint, configurare l'endpoint per la disconnessione singola (SLO):
-
Fare clic su Add SAML (Aggiungi SAML).
-
Selezionare Endpoint Type SAML Logout.
-
Selezionare binding Redirect.
-
Nel campo Trusted URL, immettere l'URL utilizzato per la disconnessione singola (SLO) da questo nodo di amministrazione:
https://Admin_Node_FQDN/api/saml-logout
Per
Admin_Node_FQDN
, Immettere il nome di dominio completo del nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia).-
Fare clic su OK.
-
-
Nella scheda Firma, specificare il certificato di firma per il trust della parte che si basa:
-
Aggiungere il certificato personalizzato:
-
Se si dispone del certificato di gestione personalizzato caricato su StorageGRID, selezionare il certificato.
-
Se non si dispone del certificato personalizzato, accedere al nodo di amministrazione, quindi passare a.
/var/local/mgmt-api
Della directory Admin Node e aggiungerecustom-server.crt
file di certificato.Nota: utilizzando il certificato predefinito del nodo di amministrazione (
server.crt
) non è consigliato. Se il nodo Admin non riesce, il certificato predefinito viene rigenerato quando si ripristina il nodo ed è necessario aggiornare il trust della parte che si basa.
-
-
Fare clic su Apply (Applica), quindi su OK.
Le proprietà della parte di base vengono salvate e chiuse.
-
-
Ripetere questa procedura per configurare un trust per tutti i nodi di amministrazione nel sistema StorageGRID.
-
Al termine, tornare a StorageGRID e. "verificare tutti i trust delle parti di base" per confermare che sono configurati correttamente.