Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Single Sign-On이 활성화된 경우 API를 사용하세요(PingFederate)

PDF

만약 당신이 가지고 있다면"구성 및 활성화된 Single Sign-On(SSO)" PingFederate를 SSO 공급자로 사용하는 경우 Grid Management API 또는 Tenant Management API에 유효한 인증 토큰을 얻기 위해 일련의 API 요청을 발행해야 합니다.

Single Sign-On이 활성화된 경우 API에 Sign in.

이 지침은 PingFederate를 SSO ID 공급자로 사용하는 경우에 적용됩니다.

시작하기 전에

  • StorageGRID 사용자 그룹에 속한 페더레이션 사용자의 SSO 사용자 이름과 비밀번호를 알고 있습니다.

  • 테넌트 관리 API에 액세스하려면 테넌트 계정 ID를 알고 있어야 합니다.

이 작업에 관하여

인증 토큰을 얻으려면 다음 예 중 하나를 사용할 수 있습니다.

  • 그만큼 storagegrid-ssoauth.py StorageGRID 설치 파일 디렉토리에 있는 Python 스크립트(./rpms Red Hat Enterprise Linux의 경우 ./debs Ubuntu 또는 Debian의 경우 ./vsphere VMware의 경우).

  • curl 요청의 워크플로 예시.

    너무 느리게 수행하면 컬 워크플로가 시간 초과될 수 있습니다. 다음과 같은 오류가 표시될 수 있습니다. A valid SubjectConfirmation was not found on this Response .

    참고 예제 curl 워크플로는 다른 사용자가 비밀번호를 보는 것을 보호하지 않습니다.

    URL 인코딩 문제가 있는 경우 다음 오류가 표시될 수 있습니다. Unsupported SAML version .

단계

  1. 인증 토큰을 얻으려면 다음 방법 중 하나를 선택하세요.

    • 사용하다 storagegrid-ssoauth.py 파이썬 스크립트. 2단계로 이동합니다.

    • curl 요청을 사용하세요. 3단계로 이동합니다.

  2. 를 사용하려면 storagegrid-ssoauth.py 스크립트를 Python 인터프리터에 전달하고 스크립트를 실행합니다.

    메시지가 표시되면 다음 인수에 대한 값을 입력합니다.

    • SSO 방식. "pingfederate"의 어떤 변형이든 입력할 수 있습니다(PINGFEDERATE, pingfederate 등).

    • SSO 사용자 이름

    • StorageGRID 설치된 도메인입니다. 이 필드는 PingFederate에 사용되지 않습니다. 비워두거나 원하는 값을 입력할 수 있습니다.

    • StorageGRID 의 주소

    • 테넌트 관리 API에 액세스하려면 테넌트 계정 ID가 필요합니다.

      Ping Federate를 위한 SSO 인증 스크립트

    StorageGRID 인증 토큰은 출력에 제공됩니다. 이제 SSO를 사용하지 않을 경우 API를 사용하는 것과 유사하게 다른 요청에도 토큰을 사용할 수 있습니다.

  3. curl 요청을 사용하려면 다음 절차를 따르세요.

    1. 로그인에 필요한 변수를 선언합니다.

      export SAMLUSER='my-sso-username'
export SAMLPASSWORD='my-password'
export TENANTACCOUNTID='12345'
export STORAGEGRID_ADDRESS='storagegrid.example.com'
      참고 Grid Management API에 액세스하려면 0을 사용하세요. TENANTACCOUNTID .

    2. 서명된 인증 URL을 받으려면 POST 요청을 발행하세요. /api/v3/authorize-saml 그리고 응답에서 추가적인 JSON 인코딩을 제거합니다.

      이 예에서는 TENANTACCOUNTID에 대한 서명된 인증 URL에 대한 POST 요청을 보여줍니다. 결과는 python -m json.tool로 전달되어 JSON 인코딩을 제거합니다.

      curl -X POST "https://$STORAGEGRID_ADDRESS/api/v3/authorize-saml" \
  -H "accept: application/json" -H  "Content-Type: application/json" \
  --data "{\"accountId\": \"$TENANTACCOUNTID\"}" | python -m json.tool

      이 예제에 대한 응답에는 URL로 인코딩된 서명된 URL이 포함되지만, 추가적인 JSON 인코딩 계층은 포함되지 않습니다.

      {
    "apiVersion": "3.0",
    "data": "https://my-pf-baseurl/idp/SSO.saml2?...",
    "responseTime": "2018-11-06T16:30:23.355Z",
    "status": "success"
}

    3. 저장하다 SAMLRequest 후속 명령에서 사용할 응답에서.

      export SAMLREQUEST="https://my-pf-baseurl/idp/SSO.saml2?..."

    4. 응답과 쿠키를 내보내고 응답을 에코합니다.

      RESPONSE=$(curl -c - "$SAMLREQUEST")
      echo "$RESPONSE" | grep 'input type="hidden" name="pf.adapterId" id="pf.adapterId"'

    5. 'pf.adapterId' 값을 내보내고 응답을 표시합니다.

      export ADAPTER='myAdapter'
      echo "$RESPONSE" | grep 'base'

    6. 'href' 값을 내보내고(끝의 슬래시(/)를 제거) 응답을 표시합니다.

      export BASEURL='https://my-pf-baseurl'
      echo "$RESPONSE" | grep 'form method="POST"'

    7. 'action' 값을 내보냅니다.

      export SSOPING='/idp/.../resumeSAML20/idp/SSO.ping'

    8. 자격 증명과 함께 쿠키를 보냅니다.

      curl -b <(echo "$RESPONSE") -X POST "$BASEURL$SSOPING" \
--data "pf.username=$SAMLUSER&pf.pass=$SAMLPASSWORD&pf.ok=clicked&pf.cancel=&pf.adapterId=$ADAPTER" --include

    9. 저장하다 SAMLResponse 숨겨진 필드에서:

      export SAMLResponse='PHNhbWxwOlJlc3BvbnN...1scDpSZXNwb25zZT4='

    10. 저장된 것을 사용하여 SAMLResponse , StorageGRID 를 만드세요/api/saml-response StorageGRID 인증 토큰을 생성하라는 요청입니다.

      을 위한 RelayState , 테넌트 계정 ID를 사용하거나 Grid Management API에 로그인하려면 0을 사용하세요.

      curl -X POST "https://$STORAGEGRID_ADDRESS:443/api/saml-response" \
  -H "accept: application/json" \
  --data-urlencode "SAMLResponse=$SAMLResponse" \
  --data-urlencode "RelayState=$TENANTACCOUNTID" \
  | python -m json.tool

      응답에는 인증 토큰이 포함됩니다.

    {
    "apiVersion": "3.0",
    "data": "56eb07bf-21f6-40b7-af0b-5c6cacfb25e7",
    "responseTime": "2018-11-07T21:32:53.486Z",
    "status": "success"
}

    1. 응답에 인증 토큰을 다음과 같이 저장합니다. MYTOKEN .

      export MYTOKEN="56eb07bf-21f6-40b7-af0b-5c6cacfb25e7"

      이제 사용할 수 있습니다 MYTOKEN 다른 요청의 경우 SSO가 사용되지 않는 경우 API를 사용하는 방법과 비슷합니다.

Single Sign-On이 활성화된 경우 API에서 로그아웃합니다.

SSO(Single Sign-On)가 활성화된 경우 Grid Management API 또는 Tenant Management API에서 로그아웃하려면 일련의 API 요청을 발행해야 합니다. 이 지침은 PingFederate를 SSO ID 공급자로 사용하는 경우에 적용됩니다.

이 작업에 관하여

필요한 경우 조직의 단일 로그아웃 페이지에서 로그아웃하여 StorageGRID API에서 로그아웃할 수 있습니다. 또는 유효한 StorageGRID 베어러 토큰이 필요한 StorageGRID 에서 단일 로그아웃(SLO)을 트리거할 수 있습니다.

단계

  1. 서명된 로그아웃 요청을 생성하려면 SLO API에 `cookie "sso=true"를 전달합니다.

    curl -k -X DELETE "https://$STORAGEGRID_ADDRESS/api/v3/authorize" \
-H "accept: application/json" \
-H "Authorization: Bearer $MYTOKEN" \
--cookie "sso=true" \
| python -m json.tool

    로그아웃 URL이 반환됩니다.

    {
    "apiVersion": "3.0",
    "data": "https://my-ping-url/idp/SLO.saml2?SAMLRequest=fZDNboMwEIRfhZ...HcQ%3D%3D",
    "responseTime": "2021-10-12T22:20:30.839Z",
    "status": "success"
}

  2. 로그아웃 URL을 저장합니다.

    export LOGOUT_REQUEST='https://my-ping-url/idp/SLO.saml2?SAMLRequest=fZDNboMwEIRfhZ...HcQ%3D%3D'

  3. SLO를 트리거하고 StorageGRID 로 다시 리디렉션하려면 로그아웃 URL로 요청을 보냅니다.

    curl --include "$LOGOUT_REQUEST"

    302 응답이 반환됩니다. 리디렉션 위치는 API 전용 로그아웃에는 적용되지 않습니다.

    HTTP/1.1 302 Found
Location: https://$STORAGEGRID_ADDRESS:443/api/saml-logout?SAMLResponse=fVLLasMwEPwVo7ss%...%23rsa-sha256
Set-Cookie: PF=QoKs...SgCC; Path=/; Secure; HttpOnly; SameSite=None

  4. StorageGRID 베어러 토큰을 삭제합니다.

    StorageGRID 베어러 토큰을 삭제하는 방법은 SSO를 사용하지 않는 경우와 동일합니다. `cookie "sso=true"가 제공되지 않으면 사용자는 SSO 상태에 영향을 미치지 않고 StorageGRID 에서 로그아웃됩니다.

    curl -X DELETE "https://$STORAGEGRID_ADDRESS/api/v3/authorize" \
-H "accept: application/json" \
-H "Authorization: Bearer $MYTOKEN" \
--include

    에이 204 No Content 응답은 사용자가 이제 로그아웃되었음을 나타냅니다.

    HTTP/1.1 204 No Content