Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Criar relações de confiança de terceira parte confiável no AD FS

Você deve usar os Serviços de Federação do Active Directory (AD FS) para criar uma parte confiável para cada nó de administração no seu sistema. Você pode criar trusts de terceira parte confiável usando comandos do PowerShell, importando metadados SAML do StorageGRID ou inserindo os dados manualmente.

Antes de começar
  • Você configurou o logon único para o StorageGRID e selecionou AD FS como o tipo de SSO.

  • O modo sandbox é selecionado na página de logon único no Grid Manager. Ver "Usar o modo sandbox" .

  • Você conhece o nome de domínio totalmente qualificado (ou o endereço IP) e o identificador da parte confiável para cada nó de administração no seu sistema. Você pode encontrar esses valores na tabela de detalhes dos Nós de administração na página de logon único do StorageGRID .

    Observação Você deve criar uma parte confiável para cada nó de administração no seu sistema StorageGRID . Ter uma parte confiável para cada nó administrativo garante que os usuários possam entrar e sair com segurança de qualquer nó administrativo.
  • Você tem experiência na criação de relações de confiança de partes confiáveis no AD FS ou tem acesso à documentação do Microsoft AD FS.

  • Você está usando o snap-in Gerenciamento do AD FS e pertence ao grupo Administradores.

  • Se você estiver criando a confiança da parte confiável manualmente, terá o certificado personalizado que foi carregado para a interface de gerenciamento do StorageGRID ou saberá como fazer login em um nó de administração a partir do shell de comando.

Sobre esta tarefa

Estas instruções se aplicam ao AD FS do Windows Server 2016. Se você estiver usando uma versão diferente do AD FS, notará pequenas diferenças no procedimento. Consulte a documentação do Microsoft AD FS se tiver dúvidas.

Crie uma confiança de terceira parte confiável usando o Windows PowerShell

Você pode usar o Windows PowerShell para criar rapidamente uma ou mais relações de confiança de terceira parte confiável.

Passos
  1. No menu Iniciar do Windows, selecione com o botão direito do mouse o ícone do PowerShell e selecione Executar como Administrador.

  2. No prompt de comando do PowerShell, digite o seguinte comando:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Para Admin_Node_Identifier , insira o Identificador da Parte Confiável para o Nó de Administração, exatamente como ele aparece na página de Logon Único. Por exemplo, SG-DC1-ADM1 .

    • Para Admin_Node_FQDN , insira o nome de domínio totalmente qualificado para o mesmo nó de administração. (Se necessário, você pode usar o endereço IP do nó. No entanto, se você inserir um endereço IP aqui, esteja ciente de que deverá atualizar ou recriar essa parte confiável se esse endereço IP mudar.)

  3. No Gerenciador do Windows Server, selecione Ferramentas > Gerenciamento do AD FS.

    A ferramenta de gerenciamento do AD FS é exibida.

  4. Selecione AD FS > Relying Party Trusts.

    A lista de trusts de partes confiáveis é exibida.

  5. Adicione uma Política de Controle de Acesso à confiança da parte confiável recém-criada:

    1. Localize a parte confiável que você acabou de criar.

    2. Clique com o botão direito do mouse no trust e selecione Editar Política de Controle de Acesso.

    3. Selecione uma Política de Controle de Acesso.

    4. Selecione Aplicar e selecione OK

  6. Adicione uma Política de Emissão de Reivindicações ao Trust de Parte Confiável recém-criado:

    1. Localize a parte confiável que você acabou de criar.

    2. Clique com o botão direito do mouse no trust e selecione Editar política de emissão de reivindicações.

    3. Selecione Adicionar regra.

    4. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como declarações na lista e selecione Avançar.

    5. Na página Configurar regra, insira um nome de exibição para esta regra.

      Por exemplo, ObjectGUID para ID de nome ou UPN para ID de nome.

    6. Para o Attribute Store, selecione Active Directory.

    7. Na coluna Atributo LDAP da tabela Mapeamento, digite objectGUID ou selecione User-Principal-Name.

    8. Na coluna Tipo de reivindicação de saída da tabela Mapeamento, selecione ID do nome na lista suspensa.

    9. Selecione Concluir e selecione OK.

  7. Confirme se os metadados foram importados com sucesso.

    1. Clique com o botão direito do mouse na parte confiável para abrir suas propriedades.

    2. Confirme se os campos nas guias Endpoints, Identifiers e Signature estão preenchidos.

      Se os metadados estiverem ausentes, confirme se o endereço de metadados da Federação está correto ou insira os valores manualmente.

  8. Repita essas etapas para configurar uma parte confiável para todos os nós de administração no seu sistema StorageGRID .

  9. Quando terminar, retorne ao StorageGRID e teste todos os trusts de terceiros para confirmar se estão configurados corretamente. Ver"Usar o modo Sandbox" para obter instruções.

Crie uma parte confiável importando metadados da federação

Você pode importar os valores para cada parte confiável acessando os metadados SAML para cada nó de administração.

Passos
  1. No Gerenciador do Windows Server, selecione Ferramentas e, em seguida, selecione Gerenciamento do AD FS.

  2. Em Ações, selecione Adicionar confiança de terceira parte confiável.

  3. Na página de boas-vindas, escolha Reivindicações cientes e selecione Iniciar.

  4. Selecione Importar dados sobre a parte confiável publicados on-line ou em uma rede local.

  5. Em Endereço de metadados da federação (nome do host ou URL), digite o local dos metadados SAML para este nó de administração:

    https://Admin_Node_FQDN/api/saml-metadata

    Para Admin_Node_FQDN , insira o nome de domínio totalmente qualificado para o mesmo nó de administração. (Se necessário, você pode usar o endereço IP do nó. No entanto, se você inserir um endereço IP aqui, esteja ciente de que deverá atualizar ou recriar essa parte confiável se esse endereço IP mudar.)

  6. Conclua o assistente de Relying Party Trust, salve o trust da parte confiável e feche o assistente.

    Observação Ao inserir o nome de exibição, use o Identificador de Parte Confiável para o Nó de Administração, exatamente como ele aparece na página de Logon Único no Grid Manager. Por exemplo, SG-DC1-ADM1 .
  7. Adicione uma regra de reivindicação:

    1. Clique com o botão direito do mouse no trust e selecione Editar política de emissão de reivindicações.

    2. Selecione Adicionar regra:

    3. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como declarações na lista e selecione Avançar.

    4. Na página Configurar regra, insira um nome de exibição para esta regra.

      Por exemplo, ObjectGUID para ID de nome ou UPN para ID de nome.

    5. Para o Attribute Store, selecione Active Directory.

    6. Na coluna Atributo LDAP da tabela Mapeamento, digite objectGUID ou selecione User-Principal-Name.

    7. Na coluna Tipo de reivindicação de saída da tabela Mapeamento, selecione ID do nome na lista suspensa.

    8. Selecione Concluir e selecione OK.

  8. Confirme se os metadados foram importados com sucesso.

    1. Clique com o botão direito do mouse na parte confiável para abrir suas propriedades.

    2. Confirme se os campos nas guias Endpoints, Identifiers e Signature estão preenchidos.

      Se os metadados estiverem ausentes, confirme se o endereço de metadados da Federação está correto ou insira os valores manualmente.

  9. Repita essas etapas para configurar uma parte confiável para todos os nós de administração no seu sistema StorageGRID .

  10. Quando terminar, retorne ao StorageGRID e teste todos os trusts de terceiros para confirmar se estão configurados corretamente. Ver"Usar o modo Sandbox" para obter instruções.

Crie uma parte confiável manualmente

Se você optar por não importar os dados para as partes confiáveis, poderá inserir os valores manualmente.

Passos
  1. No Gerenciador do Windows Server, selecione Ferramentas e, em seguida, selecione Gerenciamento do AD FS.

  2. Em Ações, selecione Adicionar confiança de terceira parte confiável.

  3. Na página de boas-vindas, escolha Reivindicações cientes e selecione Iniciar.

  4. Selecione Inserir dados sobre a parte confiável manualmente e selecione Avançar.

  5. Conclua o assistente Relying Party Trust:

    1. Insira um nome de exibição para este nó de administração.

      Para consistência, use o Identificador de Parte Confiável para o Nó de Administração, exatamente como ele aparece na página de Logon Único no Grid Manager. Por exemplo, SG-DC1-ADM1 .

    2. Ignore a etapa para configurar um certificado de criptografia de token opcional.

    3. Na página Configurar URL, marque a caixa de seleção Ativar suporte para o protocolo SAML 2.0 WebSSO.

    4. Digite a URL do ponto de extremidade do serviço SAML para o nó de administração:

      https://Admin_Node_FQDN/api/saml-response

      Para Admin_Node_FQDN , insira o nome de domínio totalmente qualificado para o nó de administração. (Se necessário, você pode usar o endereço IP do nó. No entanto, se você inserir um endereço IP aqui, esteja ciente de que deverá atualizar ou recriar essa parte confiável se esse endereço IP mudar.)

    5. Na página Configurar Identificadores, especifique o Identificador de Parte Confiável para o mesmo Nó de Administração:

      Admin_Node_Identifier

      Para Admin_Node_Identifier , insira o Identificador da Parte Confiável para o Nó de Administração, exatamente como ele aparece na página de Logon Único. Por exemplo, SG-DC1-ADM1 .

    6. Revise as configurações, salve a confiança da parte confiável e feche o assistente.

      A caixa de diálogo Editar política de emissão de reivindicações é exibida.

    Observação Se a caixa de diálogo não aparecer, clique com o botão direito do mouse no trust e selecione Editar política de emissão de reivindicações.
  6. Para iniciar o assistente de Regra de Reivindicação, selecione Adicionar regra:

    1. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como declarações na lista e selecione Avançar.

    2. Na página Configurar regra, insira um nome de exibição para esta regra.

      Por exemplo, ObjectGUID para ID de nome ou UPN para ID de nome.

    3. Para o Attribute Store, selecione Active Directory.

    4. Na coluna Atributo LDAP da tabela Mapeamento, digite objectGUID ou selecione User-Principal-Name.

    5. Na coluna Tipo de reivindicação de saída da tabela Mapeamento, selecione ID do nome na lista suspensa.

    6. Selecione Concluir e selecione OK.

  7. Clique com o botão direito do mouse na parte confiável para abrir suas propriedades.

  8. Na guia Endpoints, configure o endpoint para logout único (SLO):

    1. Selecione Adicionar SAML.

    2. Selecione Tipo de endpoint > Logout SAML.

    3. Selecione Vinculação > Redirecionamento.

    4. No campo URL confiável, insira a URL usada para logout único (SLO) deste nó de administração:

      https://Admin_Node_FQDN/api/saml-logout

    Para Admin_Node_FQDN , insira o nome de domínio totalmente qualificado do nó de administração. (Se necessário, você pode usar o endereço IP do nó. No entanto, se você inserir um endereço IP aqui, esteja ciente de que deverá atualizar ou recriar essa parte confiável se esse endereço IP mudar.)

    1. Selecione OK.

  9. Na aba Assinatura, especifique o certificado de assinatura para esta parte confiável:

    1. Adicione o certificado personalizado:

      • Se você tiver o certificado de gerenciamento personalizado que carregou no StorageGRID, selecione esse certificado.

      • Se você não tiver o certificado personalizado, faça login no nó de administração, vá para /var/local/mgmt-api diretório do nó de administração e adicione o custom-server.crt arquivo de certificado.

        Observação Usando o certificado padrão do nó de administração(server.crt ) não é recomendado. Se o nó de administração falhar, o certificado padrão será regenerado quando você recuperar o nó, e você precisará atualizar a confiança da parte confiável.
    2. Selecione Aplicar e selecione OK.

      As propriedades da Parte Confiável são salvas e fechadas.

  10. Repita essas etapas para configurar uma parte confiável para todos os nós de administração no seu sistema StorageGRID .

  11. Quando terminar, retorne ao StorageGRID e teste todos os trusts de terceiros para confirmar se estão configurados corretamente. Ver"Usar o modo sandbox" para obter instruções.