Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creare connessioni SP (service provider) in PingFederate

Collaboratori
PDF

Utilizzare PingFederate per creare una connessione SP (Service Provider) per ciascun nodo amministratore del sistema. Per accelerare il processo, importare i metadati SAML da StorageGRID.

Prima di iniziare

  • È stato configurato Single Sign-on per StorageGRID ed è stato selezionato Ping Federate come tipo di SSO.

  • La modalità Sandbox è selezionata nella pagina Single Sign-on di Grid Manager. Vedere "USA la modalità sandbox".

  • Si dispone dell'ID di connessione SP per ciascun nodo amministratore del sistema. Questi valori sono disponibili nella tabella dei dettagli dei nodi di amministrazione nella pagina accesso singolo StorageGRID.

  • Sono stati scaricati i metadati SAML per ciascun nodo di amministrazione nel sistema.

  • Hai esperienza nella creazione di connessioni SP in PingFederate Server.

  • Hai ilhttps://docs.pingidentity.com/bundle/pingfederate-103/page/kfj1564002962494.html["Guida di riferimento per l'amministratore"^] Per PingFederate Server. La documentazione di PingFederate fornisce istruzioni dettagliate e spiegazioni dettagliate.

  • Si dispone dell'autorizzazione Admin per PingFederate Server.

A proposito di questa attività

Queste istruzioni riepilogano come configurare PingFederate Server versione 10.3 come provider SSO per StorageGRID. Se si utilizza un'altra versione di PingFederate, potrebbe essere necessario adattare queste istruzioni. Per istruzioni dettagliate sulla release, consultare la documentazione di PingFederate Server.

Completare i prerequisiti in PingFederate

Prima di poter creare le connessioni SP da utilizzare per StorageGRID, è necessario completare le attività dei prerequisiti in PingFederate. Quando si configurano le connessioni SP, verranno utilizzate le informazioni di questi prerequisiti.

Creare un archivio di dati

Se non lo si è già fatto, creare un archivio dati per connettere PingFederate al server LDAP di ad FS. Utilizzare i valori utilizzati quando "configurazione della federazione delle identità" In StorageGRID.

  • Tipo: Directory (LDAP)

  • LDAP Type: Active Directory

  • Binary Attribute Name (Nome attributo binario): Inserire objectGUID nella scheda LDAP Binary Attributes (attributi binari LDAP) esattamente come mostrato.

Crea validatore credenziale password

Se non l'hai ancora fatto, crea una convalida delle credenziali per la password.

  • Type: LDAP Username Password Credential Validator

  • Data store: Selezionare il data store creato.

  • Base di ricerca: Immettere le informazioni da LDAP (ad esempio, DC=saml,DC=sgws).

  • Filtro di ricerca: SAMAccountName={nomeutente}

  • Scopo: Sottostruttura

Crea istanza dell'adattatore IdP

Se non lo si è già fatto, creare un'istanza dell'adattatore IdP.

Fasi

  1. Accedere a Authentication > Integration > IdP Adapter.

  2. Selezionare Crea nuova istanza.

  3. Nella scheda tipo, selezionare HTML Form IdP Adapter.

  4. Nella scheda IdP Adapter, selezionare Aggiungi una nuova riga a "Credential Validators".

  5. Selezionare validatore delle credenziali per la password creato.

  6. Nella scheda attributi adattatore, selezionare l'attributo nome utente per pseudonimo.

  7. Selezionare Salva.

Creare o importare un certificato di firma

Se non lo si è già fatto, creare o importare il certificato di firma.

Fasi

  1. Accedere a sicurezza > chiavi e certificati di firma e decrittografia.

  2. Creare o importare il certificato di firma.

Creare una connessione SP in PingFederate

Quando si crea una connessione SP in PingFederate, si importano i metadati SAML scaricati da StorageGRID per il nodo di amministrazione. Il file di metadati contiene molti dei valori specifici necessari.

Suggerimento È necessario creare una connessione SP per ciascun nodo amministratore nel sistema StorageGRID, in modo che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo. Seguire queste istruzioni per creare la prima connessione SP. Quindi, passare a. Creare ulteriori connessioni SP per creare eventuali connessioni aggiuntive necessarie.

Scegliere il tipo di connessione SP

Fasi

  1. Accedere a applicazioni > integrazione > connessioni SP.

  2. Selezionare Crea connessione.

  3. Selezionare non utilizzare un modello per questa connessione.

  4. Selezionare browser SSO Profiles (profili SSO browser) e SAML 2.0 come protocollo.

Importare metadati SP

Fasi

  1. Nella scheda Importa metadati, selezionare file.

  2. Scegliere il file di metadati SAML scaricato dalla pagina di accesso singolo StorageGRID per il nodo di amministrazione.

  3. Esaminare il riepilogo dei metadati e le informazioni fornite nella scheda General Info (informazioni generali).

    L'ID dell'entità del partner e il nome della connessione sono impostati sull'ID della connessione StorageGRID SP. (Ad esempio, 10.96.105.200-DC1-ADM1-105-200). L'URL di base è l'IP del nodo di amministrazione StorageGRID.

  4. Selezionare Avanti.

Configurare IdP browser SSO

Fasi

  1. Dalla scheda SSO del browser, selezionare Configure browser SSO (Configura SSO browser).

  2. Nella scheda SAML profiles (profili SAML), selezionare le opzioni SP-initiated SSO, SP-initial SLO, IdP-initiated SSO e IdP-initiated SLO.

  3. Selezionare Avanti.

  4. Nella scheda Assertion Lifetime (durata asserzione), non apportare modifiche.

  5. Nella scheda Assertion Creation (creazione asserzione), selezionare Configure Assertion Creation (Configura creazione asserzione).

    1. Nella scheda Identity Mapping (mappatura identità), selezionare Standard.

    2. Nella scheda Contratto attributo, utilizzare SAML_SUBJECT come Contratto attributo e il formato del nome non specificato importato.

  6. Per estendere il contratto, selezionare Elimina per rimuovere urn:oid, che non viene utilizzato.

Istanza dell'adattatore di mappatura

Fasi

  1. Nella scheda Authentication Source Mapping (mappatura origine autenticazione), selezionare Map New Adapter Instance (mappatura nuova istanza adattatore).

  2. Nella scheda Adapter instance (istanza adattatore), selezionare istanza dell'adattatore creato.

  3. Nella scheda Mapping Method (metodo di mappatura), selezionare Recupera attributi aggiuntivi da un archivio dati.

  4. Nella scheda origine attributo e Ricerca utente, selezionare Aggiungi origine attributo.

  5. Nella scheda Data Store (Archivio dati), fornire una descrizione e selezionare archivio di dati hai aggiunto.

  6. Nella scheda LDAP Directory Search (Ricerca directory LDAP):

    • Inserire il DN di base, che deve corrispondere esattamente al valore immesso in StorageGRID per il server LDAP.

    • Per l'ambito di ricerca, selezionare sottostruttura.

    • Per la classe oggetto root, cercare l'attributo objectGUID e aggiungerlo.

  7. Nella scheda LDAP Binary Attribute Encoding Types (tipi di codifica attributi binari LDAP), selezionare Base64 come attributo objectGUID.

  8. Nella scheda filtro LDAP, immettere sAMAccountName={nome utente}.

  9. Nella scheda Attribute Contract Fulfillment, selezionare LDAP (attributo) dall'elenco a discesa Source (origine) e selezionare objectGUID dall'elenco a discesa Value (valore).

  10. Esaminare e salvare l'origine dell'attributo.

  11. Nella scheda origine attributo failsaved, selezionare Interrompi transazione SSO.

  12. Esaminare il riepilogo e selezionare fine.

  13. Selezionare fine.

Configurare le impostazioni del protocollo

Fasi

  1. Nella scheda connessione SP > SSO browser > Impostazioni protocollo, selezionare Configura impostazioni protocollo.

  2. Nella scheda URL servizio clienti asserzione, accettare i valori predefiniti, che sono stati importati dai metadati SAML di StorageGRID (POST per il binding e. /api/saml-response Per URL endpoint).

  3. Nella scheda URL servizio SLO, accettare i valori predefiniti, importati dai metadati SAML di StorageGRID (REDIRECT per l'associazione e. /api/saml-logout Per URL endpoint.

  4. Nella scheda Allowable SAML Bindings (Binding SAML autorizzati), deselezionare ARTEFATTO e SOAP. Sono richiesti solo POST e REDIRECT.

  5. Nella scheda Firma Policy, lasciare selezionate le caselle di controllo Richiedi la firma delle richieste Authn e Firma sempre asserzione.

  6. Nella scheda Encryption Policy (Criteri di crittografia), selezionare None (Nessuno).

  7. Esaminare il riepilogo e selezionare Done (fine) per salvare le impostazioni del protocollo.

  8. Esaminare il riepilogo e selezionare fine per salvare le impostazioni SSO del browser.

Configurare le credenziali

Fasi

  1. Dalla scheda connessione SP, selezionare credenziali.

  2. Dalla scheda credenziali, selezionare Configura credenziali.

  3. Selezionare firma del certificato creato o importato.

  4. Selezionare Avanti per accedere a Gestisci impostazioni di verifica della firma.

    1. Nella scheda Trust Model (modello di attendibilità), selezionare Unancored (non ancorato).

    2. Nella scheda certificato di verifica della firma, esaminare le informazioni del certificato di firma importate dai metadati SAML di StorageGRID.

  5. Esaminare le schermate di riepilogo e selezionare Save (Salva) per salvare la connessione SP.

Creare ulteriori connessioni SP

È possibile copiare la prima connessione SP per creare le connessioni SP necessarie per ciascun nodo di amministrazione nella griglia. Vengono caricati nuovi metadati per ogni copia.

Nota Le connessioni SP per diversi nodi di amministrazione utilizzano impostazioni identiche, ad eccezione di ID entità del partner, URL di base, ID connessione, nome connessione, verifica firma, E SLO Response URL.
Fasi

  1. Selezionare Action > Copy per creare una copia della connessione SP iniziale per ogni nodo Admin aggiuntivo.

  2. Immettere l'ID connessione e il nome connessione per la copia, quindi selezionare Salva.

  3. Scegliere il file di metadati corrispondente al nodo di amministrazione:

    1. Selezionare azione > Aggiorna con metadati.

    2. Selezionare Scegli file e caricare i metadati.

    3. Selezionare Avanti.

    4. Selezionare Salva.

  4. Risolvere l'errore dovuto all'attributo inutilizzato:

    1. Selezionare la nuova connessione.

    2. Selezionare Configure browser SSO > Configure Assertion Creation > Attribute Contract.

    3. Elimina la voce per urn:oid.

    4. Selezionare Salva.