Skip to main content
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Criando confianças de parte confiáveis no AD FS

Colaboradores
PDFs

Você deve usar os Serviços de Federação do ative Directory (AD FS) para criar uma confiança de parte confiável para cada nó de administração em seu sistema. Você pode criar trusts confiáveis de parte usando comandos do PowerShell, importando metadados SAML do StorageGRID ou inserindo os dados manualmente.

Criando uma confiança de parte confiável usando o Windows PowerShell

Você pode usar o Windows PowerShell para criar rapidamente uma ou mais trusts de parte confiáveis.

O que você vai precisar

  • Você configurou o SSO no StorageGRID e sabe o nome de domínio totalmente qualificado (ou o endereço IP) e o identificador de parte confiável para cada nó de administrador no seu sistema.

    Observação Você deve criar uma confiança de parte confiável para cada nó de administrador no seu sistema StorageGRID. Ter uma confiança de parte confiável para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração.

  • Você tem experiência em criar confiança de parte confiável no AD FS ou tem acesso à documentação do Microsoft AD FS.

  • Você está usando o snap-in Gerenciamento do AD FS e pertence ao grupo Administradores.

Sobre esta tarefa

Estas instruções aplicam-se ao AD FS 4,0, que está incluído no Windows Server 2016. Se você estiver usando o AD FS 3,0, que está incluído no Windows 2012 R2, você notará pequenas diferenças no procedimento. Consulte a documentação do Microsoft AD FS se tiver dúvidas.

Passos

  1. No menu Iniciar do Windows, clique com o botão direito do Mouse no ícone do PowerShell e selecione Executar como Administrador.

  2. No prompt de comando do PowerShell, digite o seguinte comando:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Para Admin_Node_Identifier, insira o Identificador de parte dependente para o nó Admin, exatamente como aparece na página Início de sessão único. Por exemplo, SG-DC1-ADM1.

    • Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado para o mesmo nó de administração. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

  3. No Gerenciador do Windows Server, selecione Ferramentas > Gerenciamento do AD FS.

    A ferramenta de gerenciamento do AD FS é exibida.

  4. Selecione AD FS > confiar em parts.

    É apresentada a lista de confianças de partes dependentes.

  5. Adicione uma Política de Controle de Acesso à confiança da entidade dependente recém-criada:

    1. Localize a confiança de quem confia que você acabou de criar.

    2. Clique com o botão direito do rato na fidedignidade e selecione Editar política de controlo de acesso.

    3. Selecione uma política de controlo de acesso.

    4. Clique em Apply e clique em OK

  6. Adicione uma Política de emissão de reclamação à recém-criada confiança da parte dependente:

    1. Localize a confiança de quem confia que você acabou de criar.

    2. Clique com o botão direito do rato na confiança e selecione Editar política de emissão de reclamação.

    3. Clique em Adicionar regra.

    4. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como reivindicações na lista e clique em Avançar.

    5. Na página Configurar regra, insira um nome de exibição para essa regra.

      Por exemplo, ObjectGUID to Name ID.

    6. Para o Attribute Store, selecione ative Directory.

    7. Na coluna LDAP Attribute da tabela Mapping, digite objectGUID.

    8. Na coluna Outgoing Claim Type (tipo de reclamação de saída) da tabela Mapeamento, selecione Name ID (ID do nome) na lista suspensa.

    9. Clique em Finish e clique em OK.

  7. Confirme se os metadados foram importados com sucesso.

    1. Clique com o botão direito do rato na confiança da parte dependente para abrir as suas propriedades.

    2. Confirme se os campos nas guias Endpoints, Identificadores e assinatura estão preenchidos.

      Se os metadados estiverem ausentes, confirme se o endereço de metadados da Federação está correto ou simplesmente insira os valores manualmente.

  8. Repita essas etapas para configurar uma confiança de parte confiável para todos os nós de administração no sistema StorageGRID.

  9. Quando terminar, regresse ao StorageGRID e "teste todos os trusts de confiança"confirme que estão configurados corretamente.

Criando uma confiança de parte confiável importando metadados de federação

Você pode importar os valores de cada confiança de parte confiável acessando os metadados SAML para cada nó de administração.

O que você vai precisar

  • Você configurou o SSO no StorageGRID e sabe o nome de domínio totalmente qualificado (ou o endereço IP) e o identificador de parte confiável para cada nó de administrador no seu sistema.

    Observação Você deve criar uma confiança de parte confiável para cada nó de administrador no seu sistema StorageGRID. Ter uma confiança de parte confiável para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração.

  • Você tem experiência em criar confiança de parte confiável no AD FS ou tem acesso à documentação do Microsoft AD FS.

  • Você está usando o snap-in Gerenciamento do AD FS e pertence ao grupo Administradores.

Sobre esta tarefa

Estas instruções aplicam-se ao AD FS 4,0, que está incluído no Windows Server 2016. Se você estiver usando o AD FS 3,0, que está incluído no Windows 2012 R2, você notará pequenas diferenças no procedimento. Consulte a documentação do Microsoft AD FS se tiver dúvidas.

Passos

  1. No Gerenciador do Windows Server, clique em Ferramentas e selecione Gerenciamento do AD FS.

  2. Em ações, clique em Adicionar confiança de parte dependente.

  3. Na página de boas-vindas, escolha reconhecimento de reclamações e clique em Iniciar.

  4. Selecione Importar dados sobre a parte dependente publicada on-line ou em uma rede local.

  5. Em Endereço de metadados de Federação (nome do host ou URL), digite o local dos metadados SAML para este nó de administração:

    https://Admin_Node_FQDN/api/saml-metadata

    Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado para o mesmo nó de administração. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

  6. Conclua o assistente confiar na parte confiável, salve a confiança da parte confiável e feche o assistente.

    Observação Ao inserir o nome de exibição, use o Identificador de parte confiável para o nó Admin, exatamente como ele aparece na página de logon único no Gerenciador de Grade. Por exemplo, SG-DC1-ADM1.

  7. Adicionar uma regra de reclamação:

    1. Clique com o botão direito do rato na confiança e selecione Editar política de emissão de reclamação.

    2. Clique em Adicionar regra:

    3. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como reivindicações na lista e clique em Avançar.

    4. Na página Configurar regra, insira um nome de exibição para essa regra.

      Por exemplo, ObjectGUID to Name ID.

    5. Para o Attribute Store, selecione ative Directory.

    6. Na coluna LDAP Attribute da tabela Mapping, digite objectGUID.

    7. Na coluna Outgoing Claim Type (tipo de reclamação de saída) da tabela Mapeamento, selecione Name ID (ID do nome) na lista suspensa.

    8. Clique em Finish e clique em OK.

  8. Confirme se os metadados foram importados com sucesso.

    1. Clique com o botão direito do rato na confiança da parte dependente para abrir as suas propriedades.

    2. Confirme se os campos nas guias Endpoints, Identificadores e assinatura estão preenchidos.

      Se os metadados estiverem ausentes, confirme se o endereço de metadados da Federação está correto ou simplesmente insira os valores manualmente.

  9. Repita essas etapas para configurar uma confiança de parte confiável para todos os nós de administração no sistema StorageGRID.

  10. Quando terminar, regresse ao StorageGRID e "teste todos os trusts de confiança"confirme que estão configurados corretamente.

Criando uma confiança de parte confiável manualmente

Se você optar por não importar os dados para as partes confiáveis, você poderá inserir os valores manualmente.

O que você vai precisar

  • Você configurou o SSO no StorageGRID e sabe o nome de domínio totalmente qualificado (ou o endereço IP) e o identificador de parte confiável para cada nó de administrador no seu sistema.

    Observação Você deve criar uma confiança de parte confiável para cada nó de administrador no seu sistema StorageGRID. Ter uma confiança de parte confiável para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração.

  • Você tem o certificado personalizado que foi carregado para a interface de gerenciamento do StorageGRID ou sabe como fazer login em um nó de administrador a partir do shell de comando.

  • Você tem experiência em criar confiança de parte confiável no AD FS ou tem acesso à documentação do Microsoft AD FS.

  • Você está usando o snap-in Gerenciamento do AD FS e pertence ao grupo Administradores.

Sobre esta tarefa

Estas instruções aplicam-se ao AD FS 4,0, que está incluído no Windows Server 2016. Se você estiver usando o AD FS 3,0, que está incluído no Windows 2012 R2, você notará pequenas diferenças no procedimento. Consulte a documentação do Microsoft AD FS se tiver dúvidas.

Passos

  1. No Gerenciador do Windows Server, clique em Ferramentas e selecione Gerenciamento do AD FS.

  2. Em ações, clique em Adicionar confiança de parte dependente.

  3. Na página de boas-vindas, escolha reconhecimento de reclamações e clique em Iniciar.

  4. Selecione Digite os dados sobre a parte confiável manualmente e clique em Avançar.

  5. Conclua o assistente confiança da parte dependente:

    1. Introduza um nome de apresentação para este nó de administração.

      Para obter consistência, use o Identificador de parte confiável para o nó Admin, exatamente como ele aparece na página de logon único no Gerenciador de Grade. Por exemplo, SG-DC1-ADM1.

    2. Ignore a etapa para configurar um certificado de criptografia de token opcional.

    3. Na página Configurar URL, marque a caixa de seleção Ativar suporte para o protocolo SAML 2,0 WebSSO.

    4. Digite o URL do endpoint do serviço SAML para o nó Admin:

      https://Admin_Node_FQDN/api/saml-response

      Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado para o nó Admin. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

    5. Na página Configurar Identificadores, especifique o Identificador da parte de dependência para o mesmo nó de administração:

      Admin_Node_Identifier

      Para Admin_Node_Identifier, insira o Identificador de parte dependente para o nó Admin, exatamente como aparece na página Início de sessão único. Por exemplo, SG-DC1-ADM1.

    6. Revise as configurações, salve a confiança da parte confiável e feche o assistente.

      A caixa de diálogo Editar política de emissão de reclamação é exibida.

    Observação Se a caixa de diálogo não for exibida, clique com o botão direito do Mouse no Trust e selecione Editar política de emissão de reclamação.

  6. Para iniciar o assistente de regra de reclamação, clique em Adicionar regra:

    1. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como reivindicações na lista e clique em Avançar.

    2. Na página Configurar regra, insira um nome de exibição para essa regra.

      Por exemplo, ObjectGUID to Name ID.

    3. Para o Attribute Store, selecione ative Directory.

    4. Na coluna LDAP Attribute da tabela Mapping, digite objectGUID.

    5. Na coluna Outgoing Claim Type (tipo de reclamação de saída) da tabela Mapeamento, selecione Name ID (ID do nome) na lista suspensa.

    6. Clique em Finish e clique em OK.

  7. Clique com o botão direito do rato na confiança da parte dependente para abrir as suas propriedades.

  8. Na guia Endpoints, configure o endpoint para logout único (SLO):

    1. Clique em Add SAML.

    2. Selecione Endpoint Type > SAML Logout.

    3. Selecione Binding > Redirect.

    4. No campo URL confiável, insira a URL usada para logout único (SLO) deste nó Admin:

      https://Admin_Node_FQDN/api/saml-logout

    Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado do nó de administração. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

    1. Clique em OK.

  9. Na guia assinatura, especifique o certificado de assinatura para essa confiança de parte confiável:

    1. Adicione o certificado personalizado:

      • Se tiver o certificado de gestão personalizado que carregou no StorageGRID, selecione esse certificado.

      • Se você não tiver o certificado personalizado, faça login no Admin Node, vá para /var/local/mgmt-api o diretório do Admin Node e adicione o custom-server.crt arquivo de certificado.

        Observação: usando o certificado padrão do Admin Node (server.crt) não é recomendado. Se o nó Admin falhar, o certificado padrão será regenerado quando você recuperar o nó e você precisará atualizar a confiança da parte confiável.

    2. Clique em Apply e clique em OK.

      As propriedades da parte dependente são salvas e fechadas.

  10. Repita essas etapas para configurar uma confiança de parte confiável para todos os nós de administração no sistema StorageGRID.

  11. Quando terminar, regresse ao StorageGRID e "teste todos os trusts de confiança"confirme que estão configurados corretamente.