Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creare trust di relying party in AD FS

PDF

È necessario utilizzare Active Directory Federation Services (AD FS) per creare un trust della relying party per ogni nodo amministrativo nel sistema. È possibile creare trust di relying party utilizzando i comandi di PowerShell, importando metadati SAML da StorageGRID o immettendo i dati manualmente.

Prima di iniziare

  • Hai configurato l'accesso Single Sign-On per StorageGRID e hai selezionato AD FS come tipo di SSO.

  • La modalità sandbox è selezionata nella pagina Single sign-on in Grid Manager. Vedere "Utilizza la modalità sandbox" .

  • Conosci il nome di dominio completo (o l'indirizzo IP) e l'identificativo della parte affidabile per ciascun nodo di amministrazione nel tuo sistema. È possibile trovare questi valori nella tabella dei dettagli dei nodi di amministrazione nella pagina StorageGRID Single Sign-on.

    Nota È necessario creare un trust della relying party per ciascun nodo amministrativo nel sistema StorageGRID . La presenza di un trust di parte affidabile per ogni nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione.

  • Hai esperienza nella creazione di trust relying party in AD FS oppure hai accesso alla documentazione di Microsoft AD FS.

  • Stai utilizzando lo snap-in Gestione AD FS e appartieni al gruppo Amministratori.

  • Se si crea manualmente il trust della relying party, si dispone del certificato personalizzato caricato per l'interfaccia di gestione StorageGRID oppure si sa come accedere a un nodo di amministrazione dalla shell dei comandi.

Informazioni su questo compito

Queste istruzioni si applicano a Windows Server 2016 AD FS. Se si utilizza una versione diversa di AD FS, si noteranno lievi differenze nella procedura. Per qualsiasi domanda, consultare la documentazione di Microsoft AD FS.

Creare un trust della relying party utilizzando Windows PowerShell

È possibile utilizzare Windows PowerShell per creare rapidamente uno o più trust relying party.

Passi

  1. Dal menu Start di Windows, seleziona con il pulsante destro del mouse l'icona di PowerShell e seleziona Esegui come amministratore.

  2. Al prompt dei comandi di PowerShell, immettere il seguente comando:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Per Admin_Node_Identifier , immettere l'identificatore della parte affidabile per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on. Ad esempio, SG-DC1-ADM1 .

    • Per Admin_Node_FQDN , immettere il nome di dominio completo per lo stesso nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, tenere presente che sarà necessario aggiornare o ricreare questo trust della relying party se l'indirizzo IP dovesse cambiare.)

  3. Da Windows Server Manager, selezionare Strumenti > Gestione AD FS.

    Viene visualizzato lo strumento di gestione AD FS.

  4. Selezionare AD FS > Trust delle parti affidabili.

    Viene visualizzato l'elenco dei trust delle parti affidanti.

  5. Aggiungere una policy di controllo degli accessi al trust della relying party appena creato:

    1. Individua il trust della parte affidabile che hai appena creato.

    2. Fare clic con il pulsante destro del mouse sul trust e selezionare Modifica criterio di controllo degli accessi.

    3. Selezionare una politica di controllo degli accessi.

    4. Selezionare Applica e selezionare OK

  6. Aggiungere una politica di emissione dei reclami al trust della parte affidabile appena creato:

    1. Individua il trust della parte affidabile che hai appena creato.

    2. Fare clic con il pulsante destro del mouse sul trust e selezionare Modifica policy di emissione reclami.

    3. Seleziona Aggiungi regola.

    4. Nella pagina Seleziona modello di regola, seleziona Invia attributi LDAP come claim dall'elenco e seleziona Avanti.

    5. Nella pagina Configura regola, immettere un nome visualizzato per questa regola.

      Ad esempio, ObjectGUID in Name ID o UPN in Name ID.

    6. Per l'Attribute Store, selezionare Active Directory.

    7. Nella colonna Attributo LDAP della tabella Mapping, digitare objectGUID oppure selezionare User-Principal-Name.

    8. Nella colonna Tipo di richiesta in uscita della tabella Mapping, selezionare ID nome dall'elenco a discesa.

    9. Selezionare Fine e quindi OK.

  7. Verificare che i metadati siano stati importati correttamente.

    1. Fare clic con il pulsante destro del mouse sul trust della relying party per aprirne le proprietà.

    2. Verificare che i campi nelle schede Endpoint, Identificatori e Firma siano compilati.

      Se i metadati sono mancanti, verificare che l'indirizzo dei metadati della Federazione sia corretto oppure immettere i valori manualmente.

  8. Ripetere questi passaggi per configurare un trust della relying party per tutti i nodi amministrativi nel sistema StorageGRID .

  9. Al termine, torna a StorageGRID e verifica tutti i trust delle relying party per confermare che siano configurati correttamente. Vedere"Utilizzare la modalità Sandbox" per istruzioni.

Creare un trust della parte affidabile importando i metadati della federazione

È possibile importare i valori per ciascun trust della relying party accedendo ai metadati SAML per ciascun nodo di amministrazione.

Passi

  1. In Windows Server Manager, seleziona Strumenti, quindi seleziona Gestione AD FS.

  2. In Azioni, seleziona Aggiungi trust della parte affidabile.

  3. Nella pagina di benvenuto, seleziona Richiedi informazioni e seleziona Avvia.

  4. Selezionare Importa dati sulla parte affidabile pubblicati online o su una rete locale.

  5. In Indirizzo metadati federazione (nome host o URL), digitare la posizione dei metadati SAML per questo nodo di amministrazione:

    https://Admin_Node_FQDN/api/saml-metadata

    Per Admin_Node_FQDN , immettere il nome di dominio completo per lo stesso nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, tenere presente che sarà necessario aggiornare o ricreare questo trust della relying party se l'indirizzo IP dovesse cambiare.)

  6. Completare la procedura guidata Trust della parte affidabile, salvare il trust della parte affidabile e chiudere la procedura guidata.

    Nota Quando si immette il nome visualizzato, utilizzare l'identificatore della parte affidabile per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on in Grid Manager. Ad esempio, SG-DC1-ADM1 .

  7. Aggiungi una regola di rivendicazione:

    1. Fare clic con il pulsante destro del mouse sul trust e selezionare Modifica policy di emissione reclami.

    2. Seleziona Aggiungi regola:

    3. Nella pagina Seleziona modello di regola, seleziona Invia attributi LDAP come claim dall'elenco e seleziona Avanti.

    4. Nella pagina Configura regola, immettere un nome visualizzato per questa regola.

      Ad esempio, ObjectGUID in Name ID o UPN in Name ID.

    5. Per l'Attribute Store, selezionare Active Directory.

    6. Nella colonna Attributo LDAP della tabella Mapping, digitare objectGUID oppure selezionare User-Principal-Name.

    7. Nella colonna Tipo di richiesta in uscita della tabella Mapping, selezionare ID nome dall'elenco a discesa.

    8. Selezionare Fine e quindi OK.

  8. Verificare che i metadati siano stati importati correttamente.

    1. Fare clic con il pulsante destro del mouse sul trust della relying party per aprirne le proprietà.

    2. Verificare che i campi nelle schede Endpoint, Identificatori e Firma siano compilati.

      Se i metadati sono mancanti, verificare che l'indirizzo dei metadati della Federazione sia corretto oppure immettere i valori manualmente.

  9. Ripetere questi passaggi per configurare un trust della relying party per tutti i nodi amministrativi nel sistema StorageGRID .

  10. Al termine, torna a StorageGRID e verifica tutti i trust delle relying party per confermare che siano configurati correttamente. Vedere"Utilizzare la modalità Sandbox" per istruzioni.

Creare manualmente un trust della parte affidabile

Se si sceglie di non importare i dati per i trust delle parti affidabili, è possibile immettere i valori manualmente.

Passi

  1. In Windows Server Manager, seleziona Strumenti, quindi seleziona Gestione AD FS.

  2. In Azioni, seleziona Aggiungi trust della parte affidabile.

  3. Nella pagina di benvenuto, seleziona Richiedi informazioni e seleziona Avvia.

  4. Selezionare Inserisci manualmente i dati sulla parte affidabile e selezionare Avanti.

  5. Completare la procedura guidata Trust della parte affidabile:

    1. Inserisci un nome visualizzato per questo nodo di amministrazione.

      Per coerenza, utilizzare l'identificatore della parte affidabile per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on in Grid Manager. Ad esempio, SG-DC1-ADM1 .

    2. Salta il passaggio per configurare un certificato di crittografia token facoltativo.

    3. Nella pagina Configura URL, seleziona la casella di controllo Abilita supporto per il protocollo SAML 2.0 WebSSO.

    4. Digitare l'URL dell'endpoint del servizio SAML per il nodo di amministrazione:

      https://Admin_Node_FQDN/api/saml-response

      Per Admin_Node_FQDN , immettere il nome di dominio completo per il nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, tenere presente che sarà necessario aggiornare o ricreare questo trust della relying party se l'indirizzo IP dovesse cambiare.)

    5. Nella pagina Configura identificatori, specificare l'identificatore della parte affidabile per lo stesso nodo di amministrazione:

      Admin_Node_Identifier

      Per Admin_Node_Identifier , immettere l'identificatore della parte affidabile per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on. Ad esempio, SG-DC1-ADM1 .

    6. Rivedere le impostazioni, salvare il trust della relying party e chiudere la procedura guidata.

      Viene visualizzata la finestra di dialogo Modifica policy di emissione reclami.

    Nota Se la finestra di dialogo non viene visualizzata, fare clic con il pulsante destro del mouse sul trust e selezionare Modifica policy di emissione reclami.

  6. Per avviare la procedura guidata Claim Rules, seleziona Aggiungi regola:

    1. Nella pagina Seleziona modello di regola, seleziona Invia attributi LDAP come claim dall'elenco e seleziona Avanti.

    2. Nella pagina Configura regola, immettere un nome visualizzato per questa regola.

      Ad esempio, ObjectGUID in Name ID o UPN in Name ID.

    3. Per l'Attribute Store, selezionare Active Directory.

    4. Nella colonna Attributo LDAP della tabella Mapping, digitare objectGUID oppure selezionare User-Principal-Name.

    5. Nella colonna Tipo di richiesta in uscita della tabella Mapping, selezionare ID nome dall'elenco a discesa.

    6. Selezionare Fine e quindi OK.

  7. Fare clic con il pulsante destro del mouse sul trust della relying party per aprirne le proprietà.

  8. Nella scheda Endpoint, configurare l'endpoint per la disconnessione singola (SLO):

    1. Selezionare Aggiungi SAML.

    2. Selezionare Tipo di endpoint > Disconnessione SAML.

    3. Selezionare Associa > Reindirizza.

    4. Nel campo URL attendibile, immettere l'URL utilizzato per la disconnessione singola (SLO) da questo nodo di amministrazione:

      https://Admin_Node_FQDN/api/saml-logout

    Per Admin_Node_FQDN , immettere il nome di dominio completo del nodo di amministrazione. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, tenere presente che sarà necessario aggiornare o ricreare questo trust della relying party se l'indirizzo IP dovesse cambiare.)

    1. Selezionare OK.

  9. Nella scheda Firma, specificare il certificato di firma per questo trust della parte affidabile:

    1. Aggiungi il certificato personalizzato:

      • Se disponi del certificato di gestione personalizzato caricato su StorageGRID, seleziona tale certificato.

      • Se non si dispone del certificato personalizzato, accedere al nodo di amministrazione, andare su /var/local/mgmt-api directory del nodo di amministrazione e aggiungere il custom-server.crt file del certificato.

        Nota Utilizzo del certificato predefinito del nodo di amministrazione(server.crt ) non è raccomandato. Se il nodo di amministrazione non funziona, il certificato predefinito verrà rigenerato quando si ripristina il nodo e sarà necessario aggiornare il trust della parte affidabile.

    2. Selezionare Applica e quindi OK.

      Le proprietà del relying party vengono salvate e chiuse.

  10. Ripetere questi passaggi per configurare un trust della relying party per tutti i nodi amministrativi nel sistema StorageGRID .

  11. Al termine, torna a StorageGRID e verifica tutti i trust delle relying party per confermare che siano configurati correttamente. Vedere"Utilizza la modalità sandbox" per istruzioni.