Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Utilizzare l'API se è attivato il Single Sign-on (PingFederate)

Collaboratori
PDF

Se lo hai fatto SSO (Single Sign-on) configurato e abilitato E si utilizza PingFederate come provider SSO, è necessario emettere una serie di richieste API per ottenere un token di autenticazione valido per l'API Grid Management o l'API Tenant Management.

Accedere all'API se è attivato il Single Sign-on

Queste istruzioni sono valide se si utilizza PingFederate come provider di identità SSO

Di cosa hai bisogno

  • Si conoscono il nome utente e la password SSO di un utente federated appartenente a un gruppo di utenti StorageGRID.

  • Se si desidera accedere all'API di gestione tenant, si conosce l'ID account tenant.

A proposito di questa attività

Per ottenere un token di autenticazione, è possibile utilizzare uno dei seguenti esempi:

  • Il storagegrid-ssoauth.py Script Python, che si trova nella directory dei file di installazione di StorageGRID (./rpms Per Red Hat Enterprise Linux o CentOS, ./debs Per Ubuntu o Debian, e. ./vsphere Per VMware).

  • Un esempio di workflow di richieste di curl.

    Il flusso di lavoro di arricciatura potrebbe andare in timeout se viene eseguito troppo lentamente. Potrebbe essere visualizzato l'errore: A valid SubjectConfirmation was not found on this Response.

    Nota L'esempio di workflow di curl non protegge la password da essere vista da altri utenti.

    Se si verifica un problema di codifica URL, potrebbe essere visualizzato l'errore: Unsupported SAML version.

Fasi

  1. Selezionare uno dei seguenti metodi per ottenere un token di autenticazione:

    • Utilizzare storagegrid-ssoauth.py Script Python. Passare alla fase 2.

    • USA richieste di curl. Passare alla fase 3.

  2. Se si desidera utilizzare storagegrid-ssoauth.py Passare lo script all'interprete Python ed eseguirlo.

    Quando richiesto, inserire i valori per i seguenti argomenti:

    • Il metodo SSO. Puoi inserire qualsiasi variazione di “pingfederate” (PINGFEDERATE, pingfederate e così via).

    • Il nome utente SSO

    • Il dominio in cui è installato StorageGRID. Questo campo non viene utilizzato per PingFederate. È possibile lasciare vuoto il campo o inserire un valore qualsiasi.

    • L'indirizzo per StorageGRID

    • L'ID account tenant, se si desidera accedere all'API di gestione tenant.

      SSO Authentication script for Ping Federate

    Il token di autorizzazione StorageGRID viene fornito nell'output. È ora possibile utilizzare il token per altre richieste, in modo simile a come si utilizzerebbe l'API se SSO non fosse utilizzato.

  3. Se si desidera utilizzare le richieste di arricciamento, attenersi alla seguente procedura.

    1. Dichiarare le variabili necessarie per l'accesso.

      export SAMLUSER='my-sso-username'
export SAMLPASSWORD='my-password'
export TENANTACCOUNTID='12345'
export STORAGEGRID_ADDRESS='storagegrid.example.com'
      Nota Per accedere all'API Grid Management, utilizzare 0 AS TENANTACCOUNTID.

    2. Per ricevere un URL di autenticazione firmato, inviare una richiesta DI POST a. `/api/v3/authorize-saml`E rimuovere la codifica JSON aggiuntiva dalla risposta.

      Questo esempio mostra una richiesta POST per un URL di autenticazione firmato per TENANTACCOUNTID. I risultati verranno passati a python -m json.tool per rimuovere la codifica JSON.

      curl -X POST "https://$STORAGEGRID_ADDRESS/api/v3/authorize-saml" \
  -H "accept: application/json" -H  "Content-Type: application/json" \
  --data "{\"accountId\": \"$TENANTACCOUNTID\"}" | python -m json.tool

      La risposta per questo esempio include un URL firmato con codifica URL, ma non include il layer di codifica JSON aggiuntivo.

      {
    "apiVersion": "3.0",
    "data": "https://my-pf-baseurl/idp/SSO.saml2?...",
    "responseTime": "2018-11-06T16:30:23.355Z",
    "status": "success"
}

    3. Salvare SAMLRequest dalla risposta per l'utilizzo nei comandi successivi.

      export SAMLREQUEST="https://my-pf-baseurl/idp/SSO.saml2?..."

    4. Esportare la risposta e il cookie e visualizzare la risposta:

      RESPONSE=$(curl -c - "$SAMLREQUEST")
      echo "$RESPONSE" | grep 'input type="hidden" name="pf.adapterId" id="pf.adapterId"'

    5. Esportare il valore 'pf.adapterId' e visualizzare la risposta:

      export ADAPTER='myAdapter'
      echo "$RESPONSE" | grep 'base'

    6. Esportare il valore 'href' (rimuovere la barra finale /) e visualizzare la risposta:

      export BASEURL='https://my-pf-baseurl'
      echo "$RESPONSE" | grep 'form method="POST"'

    7. Esportare il valore "azione":

      export SSOPING='/idp/.../resumeSAML20/idp/SSO.ping'

    8. Invia cookie con credenziali:

      curl -b <(echo "$RESPONSE") -X POST "$BASEURL$SSOPING" \
--data "pf.username=$SAMLUSER&pf.pass=$SAMLPASSWORD&pf.ok=clicked&pf.cancel=&pf.adapterId=$ADAPTER" --include

    9. Salvare SAMLResponse dal campo nascosto:

      export SAMLResponse='PHNhbWxwOlJlc3BvbnN...1scDpSZXNwb25zZT4='

    10. Utilizzando il salvato SAMLResponse, Creare un StorageGRID/api/saml-response Richiesta di generazione di un token di autenticazione StorageGRID.

      Per RelayState, Utilizzare l'ID account tenant o utilizzare 0 se si desidera accedere all'API Grid Management.

      curl -X POST "https://$STORAGEGRID_ADDRESS:443/api/saml-response" \
  -H "accept: application/json" \
  --data-urlencode "SAMLResponse=$SAMLResponse" \
  --data-urlencode "RelayState=$TENANTACCOUNTID" \
  | python -m json.tool

      La risposta include il token di autenticazione.

    {
    "apiVersion": "3.0",
    "data": "56eb07bf-21f6-40b7-af0b-5c6cacfb25e7",
    "responseTime": "2018-11-07T21:32:53.486Z",
    "status": "success"
}

    1. Salvare il token di autenticazione nella risposta con nome MYTOKEN.

      export MYTOKEN="56eb07bf-21f6-40b7-af0b-5c6cacfb25e7"

      Ora puoi utilizzare MYTOKEN Per le altre richieste, in modo simile a come si utilizza l'API se SSO non viene utilizzato.

Disconnettersi dall'API se è attivato il Single Sign-on

Se è stato attivato il Single Sign-on (SSO), è necessario emettere una serie di richieste API per disconnettersi dall'API Grid Management o dall'API Tenant Management. Queste istruzioni sono valide se si utilizza PingFederate come provider di identità SSO

A proposito di questa attività

Se necessario, puoi disconnetterti dall'API StorageGRID semplicemente disconnettendoti dalla singola pagina di disconnessione della tua organizzazione. In alternativa, è possibile attivare il logout singolo (SLO) da StorageGRID, che richiede un token bearer StorageGRID valido.

Fasi

  1. Per generare una richiesta di disconnessione firmata, passare cookie "sso=true" All'API SLO:

    curl -k -X DELETE "https://$STORAGEGRID_ADDRESS/api/v3/authorize" \
-H "accept: application/json" \
-H "Authorization: Bearer $MYTOKEN" \
--cookie "sso=true" \
| python -m json.tool

    Viene restituito un URL di disconnessione:

    {
    "apiVersion": "3.0",
    "data": "https://my-ping-url/idp/SLO.saml2?SAMLRequest=fZDNboMwEIRfhZ...HcQ%3D%3D",
    "responseTime": "2021-10-12T22:20:30.839Z",
    "status": "success"
}

  2. Salvare l'URL di disconnessione.

    export LOGOUT_REQUEST='https://my-ping-url/idp/SLO.saml2?SAMLRequest=fZDNboMwEIRfhZ...HcQ%3D%3D'

  3. Inviare una richiesta all'URL di disconnessione per attivare SLO e reindirizzare a StorageGRID.

    curl --include "$LOGOUT_REQUEST"

    Viene restituita la risposta 302. La posizione di reindirizzamento non è applicabile alla disconnessione API-only.

    HTTP/1.1 302 Found
Location: https://$STORAGEGRID_ADDRESS:443/api/saml-logout?SAMLResponse=fVLLasMwEPwVo7ss%...%23rsa-sha256
Set-Cookie: PF=QoKs...SgCC; Path=/; Secure; HttpOnly; SameSite=None

  4. Eliminare il token del bearer StorageGRID.

    L'eliminazione del token portante StorageGRID funziona come senza SSO. Se cookie "sso=true" Non viene fornito, l'utente viene disconnesso da StorageGRID senza influire sullo stato SSO.

    curl -X DELETE "https://$STORAGEGRID_ADDRESS/api/v3/authorize" \
-H "accept: application/json" \
-H "Authorization: Bearer $MYTOKEN" \
--include

    R 204 No Content la risposta indica che l'utente è ora disconnesso.

    HTTP/1.1 204 No Content