Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creazione di trust di parti di base in ad FS

Collaboratori

È necessario utilizzare Active Directory Federation Services (ad FS) per creare un trust di parte per ciascun nodo di amministrazione nel sistema. È possibile creare trust di parti che utilizzano i comandi PowerShell, importando metadati SAML da StorageGRID o immettendo i dati manualmente.

Prima di iniziare
  • È stato configurato Single Sign-on per StorageGRID ed è stato selezionato ad FS come tipo di SSO.

  • La modalità Sandbox è selezionata nella pagina Single Sign-on di Grid Manager. Vedere "USA la modalità sandbox".

  • Si conoscono il nome di dominio completo (o l'indirizzo IP) e l'identificativo della parte di base per ciascun nodo di amministrazione nel sistema. Questi valori sono disponibili nella tabella dei dettagli dei nodi di amministrazione nella pagina accesso singolo StorageGRID.

    Nota È necessario creare un trust per ciascun nodo amministratore nel sistema StorageGRID. La disponibilità di un trust per ciascun nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione.
  • Si dispone di esperienza nella creazione di trust di parti di supporto in ad FS o si dispone dell'accesso alla documentazione di Microsoft ad FS.

  • Si sta utilizzando lo snap-in di gestione di ad FS e si appartiene al gruppo Administrators.

  • Se si crea manualmente l'attendibilità del componente di base, si dispone del certificato personalizzato caricato per l'interfaccia di gestione di StorageGRID oppure si sa come accedere a un nodo di amministrazione dalla shell dei comandi.

A proposito di questa attività

Queste istruzioni si applicano a Windows Server 2016 ad FS. Se si utilizza una versione diversa di ad FS, si noteranno lievi differenze nella procedura. In caso di domande, consultare la documentazione di Microsoft ad FS.

Creare un trust di parte con Windows PowerShell

È possibile utilizzare Windows PowerShell per creare rapidamente uno o più trust di parti.

Fasi
  1. Dal menu Start di Windows, selezionare con il pulsante destro del mouse l'icona PowerShell e selezionare Esegui come amministratore.

  2. Al prompt dei comandi di PowerShell, immettere il seguente comando:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Per Admin_Node_Identifier, immettere l'identificatore del gruppo di riferimento per il nodo di amministrazione, esattamente come viene visualizzato nella pagina Single Sign-on. Ad esempio, SG-DC1-ADM1.

    • Per Admin_Node_FQDN, immettere il nome di dominio completo per lo stesso nodo amministrativo. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia).

  3. Da Gestione server Windows, selezionare Strumenti > Gestione di ad FS.

    Viene visualizzato lo strumento di gestione di ad FS.

  4. Selezionare ad FS > Trust di parte.

    Viene visualizzato l'elenco dei trust della parte che si basa.

  5. Aggiungere un criterio di controllo degli accessi al trust della parte di base appena creato:

    1. Individuare la fiducia della parte di base appena creata.

    2. Fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit Access Control Policy (Modifica policy di controllo degli accessi).

    3. Selezionare un criterio di controllo degli accessi.

    4. Selezionare Applica e OK

  6. Aggiungere una policy di emissione delle richieste di rimborso al nuovo Trust della parte di base creato:

    1. Individuare la fiducia della parte di base appena creata.

    2. Fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit claim issuance policy (Modifica policy di emissione richiesta di rimborso).

    3. Selezionare Aggiungi regola.

    4. Nella pagina Select Rule Template (Seleziona modello di regola), selezionare Send LDAP Attributes as Claims (Invia attributi LDAP come richieste di rimborso) dall'elenco e selezionare Next (Avanti).

    5. Nella pagina Configure Rule (Configura regola), immettere un nome da visualizzare per questa regola.

      Ad esempio, objectGUID a ID nome o UPN a ID nome.

    6. Per l'archivio attributi, selezionare Active Directory.

    7. Nella colonna attributo LDAP della tabella Mapping, digitare objectGUID o selezionare User-Principal-Name.

    8. Nella colonna Outgoing Claim Type (tipo di richiesta di rimborso in uscita) della tabella Mapping (mappatura), selezionare Name ID (ID nome) dall'elenco a discesa.

    9. Selezionare fine, quindi OK.

  7. Verificare che i metadati siano stati importati correttamente.

    1. Fare clic con il pulsante destro del mouse sull'attendibilità della parte che si basa per aprirne le proprietà.

    2. Verificare che i campi nelle schede endpoint, identificatori e Firma siano compilati.

      Se i metadati non sono presenti, verificare che l'indirizzo dei metadati della federazione sia corretto oppure inserire i valori manualmente.

  8. Ripetere questa procedura per configurare un trust per tutti i nodi di amministrazione nel sistema StorageGRID.

  9. Una volta completata l'operazione, tornare a StorageGRID e verificare tutti i trust delle parti di base per verificare che siano configurati correttamente. Vedere "Utilizzare la modalità Sandbox" per istruzioni.

Creare un trust per la parte che si basa importando i metadati della federazione

È possibile importare i valori per ciascun trust di parte che si basa accedendo ai metadati SAML per ciascun nodo di amministrazione.

Fasi
  1. In Gestione server Windows, selezionare Strumenti, quindi selezionare Gestione di ad FS.

  2. In azioni, selezionare Aggiungi fiducia parte di base.

  3. Nella pagina di benvenuto, scegliere Richieste di rimborso e selezionare Avvia.

  4. Selezionare Importa dati relativi alla parte che si basa pubblicati online o su una rete locale.

  5. In Federation metadata address (nome host o URL), digitare la posizione dei metadati SAML per questo nodo di amministrazione:

    https://Admin_Node_FQDN/api/saml-metadata

    Per Admin_Node_FQDN, immettere il nome di dominio completo per lo stesso nodo amministrativo. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia).

  6. Completare la procedura guidata Trust Party, salvare il trust della parte che si basa e chiudere la procedura guidata.

    Nota Quando si immette il nome visualizzato, utilizzare l'identificativo parte di base per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on in Grid Manager. Ad esempio, SG-DC1-ADM1.
  7. Aggiungere una regola di richiesta di rimborso:

    1. Fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit claim issuance policy (Modifica policy di emissione richiesta di rimborso).

    2. Selezionare Aggiungi regola:

    3. Nella pagina Select Rule Template (Seleziona modello di regola), selezionare Send LDAP Attributes as Claims (Invia attributi LDAP come richieste di rimborso) dall'elenco e selezionare Next (Avanti).

    4. Nella pagina Configure Rule (Configura regola), immettere un nome da visualizzare per questa regola.

      Ad esempio, objectGUID a ID nome o UPN a ID nome.

    5. Per l'archivio attributi, selezionare Active Directory.

    6. Nella colonna attributo LDAP della tabella Mapping, digitare objectGUID o selezionare User-Principal-Name.

    7. Nella colonna Outgoing Claim Type (tipo di richiesta di rimborso in uscita) della tabella Mapping (mappatura), selezionare Name ID (ID nome) dall'elenco a discesa.

    8. Selezionare fine, quindi OK.

  8. Verificare che i metadati siano stati importati correttamente.

    1. Fare clic con il pulsante destro del mouse sull'attendibilità della parte che si basa per aprirne le proprietà.

    2. Verificare che i campi nelle schede endpoint, identificatori e Firma siano compilati.

      Se i metadati non sono presenti, verificare che l'indirizzo dei metadati della federazione sia corretto oppure inserire i valori manualmente.

  9. Ripetere questa procedura per configurare un trust per tutti i nodi di amministrazione nel sistema StorageGRID.

  10. Una volta completata l'operazione, tornare a StorageGRID e verificare tutti i trust delle parti di base per verificare che siano configurati correttamente. Vedere "Utilizzare la modalità Sandbox" per istruzioni.

Creare manualmente un trust per la parte che si basa

Se si sceglie di non importare i dati per i trust della parte di base, è possibile inserire i valori manualmente.

Fasi
  1. In Gestione server Windows, selezionare Strumenti, quindi selezionare Gestione di ad FS.

  2. In azioni, selezionare Aggiungi fiducia parte di base.

  3. Nella pagina di benvenuto, scegliere Richieste di rimborso e selezionare Avvia.

  4. Selezionare inserire manualmente i dati relativi alla parte di base e selezionare Avanti.

  5. Completare la procedura guidata Trust Party:

    1. Immettere un nome visualizzato per questo nodo di amministrazione.

      Per coerenza, utilizzare l'identificativo parte di base per il nodo di amministrazione, esattamente come appare nella pagina Single Sign-on in Grid Manager. Ad esempio, SG-DC1-ADM1.

    2. Saltare il passaggio per configurare un certificato di crittografia token opzionale.

    3. Nella pagina Configure URL (Configura URL), selezionare la casella di controllo Enable support for the SAML 2.0 WebSSO Protocol (attiva supporto per il protocollo SAML WebSSO).

    4. Digitare l'URL dell'endpoint del servizio SAML per il nodo di amministrazione:

      https://Admin_Node_FQDN/api/saml-response

      Per Admin_Node_FQDN, immettere il nome di dominio completo per il nodo Admin. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia).

    5. Nella pagina Configure Identifier (Configura identificatori), specificare l'identificativo della parte di base per lo stesso nodo di amministrazione:

      Admin_Node_Identifier

      Per Admin_Node_Identifier, immettere l'identificatore del gruppo di riferimento per il nodo di amministrazione, esattamente come viene visualizzato nella pagina Single Sign-on. Ad esempio, SG-DC1-ADM1.

    6. Rivedere le impostazioni, salvare l'attendibilità della parte che si basa e chiudere la procedura guidata.

      Viene visualizzata la finestra di dialogo Edit Claim Issuance Policy (Modifica policy di emissione richieste di

    Nota Se la finestra di dialogo non viene visualizzata, fare clic con il pulsante destro del mouse sull'attendibilità e selezionare Edit claim issuance policy (Modifica policy di emissione richiesta di rimborso).
  6. Per avviare la procedura guidata Claim Rule, selezionare Add Rule:

    1. Nella pagina Select Rule Template (Seleziona modello di regola), selezionare Send LDAP Attributes as Claims (Invia attributi LDAP come richieste di rimborso) dall'elenco e selezionare Next (Avanti).

    2. Nella pagina Configure Rule (Configura regola), immettere un nome da visualizzare per questa regola.

      Ad esempio, objectGUID a ID nome o UPN a ID nome.

    3. Per l'archivio attributi, selezionare Active Directory.

    4. Nella colonna attributo LDAP della tabella Mapping, digitare objectGUID o selezionare User-Principal-Name.

    5. Nella colonna Outgoing Claim Type (tipo di richiesta di rimborso in uscita) della tabella Mapping (mappatura), selezionare Name ID (ID nome) dall'elenco a discesa.

    6. Selezionare fine, quindi OK.

  7. Fare clic con il pulsante destro del mouse sull'attendibilità della parte che si basa per aprirne le proprietà.

  8. Nella scheda Endpoint, configurare l'endpoint per la disconnessione singola (SLO):

    1. Selezionare Add SAML (Aggiungi SAML).

    2. Selezionare Endpoint Type > SAML Logout.

    3. Selezionare binding > Redirect.

    4. Nel campo Trusted URL, immettere l'URL utilizzato per la disconnessione singola (SLO) da questo nodo di amministrazione:

      https://Admin_Node_FQDN/api/saml-logout

    Per Admin_Node_FQDN, immettere il nome di dominio completo del nodo amministrativo. (Se necessario, è possibile utilizzare l'indirizzo IP del nodo. Tuttavia, se si immette un indirizzo IP, è necessario aggiornare o ricreare la fiducia della parte che si basa se tale indirizzo IP cambia).

    1. Selezionare OK.

  9. Nella scheda Firma, specificare il certificato di firma per il trust della parte che si basa:

    1. Aggiungere il certificato personalizzato:

      • Se si dispone del certificato di gestione personalizzato caricato su StorageGRID, selezionare il certificato.

      • Se non si dispone del certificato personalizzato, accedere al nodo Admin, andare nella directory del nodo /var/local/mgmt-api Admin e aggiungere il file del custom-server.crt certificato.

        Nota (`server.crt`Si sconsiglia l'utilizzo del certificato predefinito del nodo amministrativo ). Se il nodo Admin non riesce, il certificato predefinito viene rigenerato quando si ripristina il nodo ed è necessario aggiornare il trust della parte che si basa.
    2. Selezionare Applica e OK.

      Le proprietà della parte di base vengono salvate e chiuse.

  10. Ripetere questa procedura per configurare un trust per tutti i nodi di amministrazione nel sistema StorageGRID.

  11. Una volta completata l'operazione, tornare a StorageGRID e verificare tutti i trust delle parti di base per verificare che siano configurati correttamente. Vedere "USA la modalità sandbox" per istruzioni.