Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Criar conexões de provedor de serviços (SP) no PingFederate

Use o PingFederate para criar uma conexão de provedor de serviços (SP) para cada nó de administração no seu sistema. Para acelerar o processo, você importará os metadados SAML do StorageGRID.

Antes de começar
  • Você configurou o logon único para o StorageGRID e selecionou Ping Federate como o tipo de SSO.

  • O modo sandbox é selecionado na página de logon único no Grid Manager. Ver "Usar o modo sandbox" .

  • Você tem o * ID de conexão SP * para cada nó de administração no seu sistema. Você pode encontrar esses valores na tabela de detalhes dos Nós de administração na página de logon único do StorageGRID .

  • Você baixou os metadados SAML para cada nó de administração no seu sistema.

  • Você tem experiência na criação de conexões SP no PingFederate Server.

  • Você tem ohttps://docs.pingidentity.com/pingfederate/latest/administrators_reference_guide/pf_administrators_reference_guide.html["Guia de Referência do Administrador"^] para o servidor PingFederate. A documentação do PingFederate fornece instruções e explicações detalhadas passo a passo.

  • Você tem o"Permissão de administrador" para o servidor PingFederate.

Sobre esta tarefa

Estas instruções resumem como configurar o PingFederate Server versão 10.3 como um provedor de SSO para o StorageGRID. Se você estiver usando outra versão do PingFederate, talvez seja necessário adaptar estas instruções. Consulte a documentação do PingFederate Server para obter instruções detalhadas para sua versão.

Pré-requisitos completos no PingFederate

Antes de criar as conexões SP que você usará para o StorageGRID, você deve concluir as tarefas de pré-requisito no PingFederate. Você usará informações desses pré-requisitos ao configurar as conexões SP .

Criar armazenamento de dados

Se ainda não o fez, crie um armazenamento de dados para conectar o PingFederate ao servidor LDAP do AD FS. Use os valores que você usou quando"configurando federação de identidade" em StorageGRID.

  • Tipo: Diretório (LDAP)

  • Tipo LDAP: Active Directory

  • Nome do atributo binário: insira objectGUID na guia Atributos binários do LDAP exatamente como mostrado.

Criar validador de credenciais de senha

Caso ainda não tenha feito isso, crie um validador de credenciais de senha.

  • Tipo: LDAP Nome de usuário Senha Validador de credenciais

  • Armazenamento de dados: Selecione o armazenamento de dados que você criou.

  • Base de pesquisa: insira informações do LDAP (por exemplo, DC=saml,DC=sgws).

  • Filtro de pesquisa: sAMAccountName=${username}

  • Escopo: Subárvore

Criar instância do adaptador IdP

Se ainda não o fez, crie uma instância do adaptador IdP.

Passos
  1. Vá para Autenticação > Integração > Adaptadores IdP.

  2. Selecione Criar nova instância.

  3. Na guia Tipo, selecione Adaptador IdP de formulário HTML.

  4. Na guia Adaptador IdP, selecione Adicionar uma nova linha para 'Validadores de credenciais'.

  5. Selecione ovalidador de credenciais de senha você criou.

  6. Na guia Atributos do adaptador, selecione o atributo nome de usuário para Pseudônimo.

  7. Selecione Salvar.

Criar ou importar certificado de assinatura

Caso ainda não tenha feito isso, crie ou importe o certificado de assinatura.

Passos
  1. Vá para Segurança > Chaves e Certificados de Assinatura e Descriptografia.

  2. Crie ou importe o certificado de assinatura.

Crie uma conexão SP no PingFederate

Ao criar uma conexão SP no PingFederate, você importa os metadados SAML baixados do StorageGRID para o nó de administração. O arquivo de metadados contém muitos dos valores específicos que você precisa.

Dica Você deve criar uma conexão SP para cada nó de administração no seu sistema StorageGRID , para que os usuários possam entrar e sair com segurança de qualquer nó. Use estas instruções para criar a primeira conexão SP . Então vá paraCriar conexões SP adicionais para criar quaisquer conexões adicionais que você precisar.

Escolha o tipo de conexão SP

Passos
  1. Vá para Aplicativos > Integração > *Conexões SP *.

  2. Selecione Criar conexão.

  3. Selecione Não usar um modelo para esta conexão.

  4. Selecione Perfis SSO do navegador e SAML 2.0 como o protocolo.

Importar metadados SP

Passos
  1. Na guia Importar metadados, selecione Arquivo.

  2. Escolha o arquivo de metadados SAML que você baixou da página de logon único do StorageGRID para o nó de administração.

  3. Revise o Resumo de Metadados e as informações fornecidas na guia Informações Gerais.

    O ID da entidade do parceiro e o nome da conexão são definidos como o ID da conexão do StorageGRID SP . (por exemplo, 10.96.105.200-DC1-ADM1-105-200). O URL base é o IP do nó de administração do StorageGRID .

  4. Selecione Avançar.

Configurar SSO do navegador IdP

Passos
  1. Na guia SSO do navegador, selecione Configurar SSO do navegador.

  2. Na guia Perfis SAML, selecione as opções * SP-initiated SSO*, * SP-initial SLO*, IdP-initiated SSO e IdP-initiated SLO.

  3. Selecione Avançar.

  4. Na aba Assertion Lifetime, não faça alterações.

  5. Na guia Criação de Asserção, selecione Configurar Criação de Asserção.

    1. Na guia Mapeamento de Identidade, selecione Padrão.

    2. Na guia Contrato de Atributo, use SAML_SUBJECT como Contrato de Atributo e o formato de nome não especificado que foi importado.

  6. Para estender o contrato, selecione Excluir para remover o urn:oid , que não é usado.

Instância do adaptador de mapa

Passos
  1. Na guia Mapeamento de fonte de autenticação, selecione Mapear nova instância do adaptador.

  2. Na guia Instância do adaptador, selecione oinstância do adaptador você criou.

  3. Na guia Método de mapeamento, selecione Recuperar atributos adicionais de um armazenamento de dados.

  4. Na guia Origem do atributo e pesquisa de usuário, selecione Adicionar origem do atributo.

  5. Na guia Armazenamento de dados, forneça uma descrição e selecione oarmazenamento de dados você adicionou.

  6. Na guia Pesquisa de diretório LDAP:

    • Insira o DN base, que deve corresponder exatamente ao valor inserido no StorageGRID para o servidor LDAP.

    • Para o Escopo de pesquisa, selecione Subárvore.

    • Para a classe de objeto raiz, procure e adicione um destes atributos: objectGUID ou userPrincipalName.

  7. Na guia Tipos de codificação de atributo binário LDAP, selecione Base64 para o atributo objectGUID.

  8. Na guia Filtro LDAP, digite sAMAccountName=${username}.

  9. Na guia Cumprimento de contrato de atributo, selecione LDAP (atributo) no menu suspenso Origem e selecione objectGUID ou userPrincipalName no menu suspenso Valor.

  10. Revise e salve a origem do atributo.

  11. Na guia Fonte do atributo Failsave, selecione Abortar a transação SSO.

  12. Revise o resumo e selecione Concluído.

  13. Selecione Concluído.

Configurar as definições do protocolo

Passos
  1. Na guia * Conexão SP * > * SSO do navegador * > * Configurações do protocolo *, selecione * Definir configurações do protocolo *.

  2. Na guia URL do serviço de consumidor de asserção, aceite os valores padrão, que foram importados dos metadados SAML do StorageGRID (POST para vinculação e /api/saml-response para URL do ponto de extremidade).

  3. Na guia URLs do serviço SLO, aceite os valores padrão, que foram importados dos metadados SAML do StorageGRID (REDIRECT para vinculação e /api/saml-logout para URL do ponto de extremidade.

  4. Na guia Ligações SAML permitidas, desmarque ARTIFACT e SOAP. Somente POST e REDIRECT são necessários.

  5. Na guia Política de Assinatura, deixe as caixas de seleção Exigir que as solicitações de autenticação sejam assinadas e Sempre assinar declaração marcadas.

  6. Na guia Política de Criptografia, selecione Nenhum.

  7. Revise o resumo e selecione Concluído para salvar as configurações do protocolo.

  8. Revise o resumo e selecione Concluído para salvar as configurações de SSO do navegador.

Configurar credenciais

Passos
  1. Na guia Conexão SP , selecione Credenciais.

  2. Na guia Credenciais, selecione Configurar credenciais.

  3. Selecione ocertificado de assinatura que você criou ou importou.

  4. Selecione Avançar para ir para Gerenciar configurações de verificação de assinatura.

    1. Na guia Modelo de confiança, selecione Não ancorado.

    2. Na guia Certificado de verificação de assinatura, revise as informações do certificado de assinatura, que foram importadas dos metadados SAML do StorageGRID .

  5. Revise as telas de resumo e selecione Salvar para salvar a conexão SP .

Criar conexões SP adicionais

Você pode copiar a primeira conexão SP para criar as conexões SP necessárias para cada nó de administração na sua grade. Você carrega novos metadados para cada cópia.

Observação As conexões SP para diferentes nós administrativos usam configurações idênticas, com exceção do ID da entidade do parceiro, URL base, ID da conexão, nome da conexão, verificação de assinatura e URL de resposta do SLO.
Passos
  1. Selecione Ação > Copiar para criar uma cópia da conexão SP inicial para cada nó de administração adicional.

  2. Insira o ID da conexão e o nome da conexão para a cópia e selecione Salvar.

  3. Selecione o arquivo de metadados correspondente ao nó de administração:

    1. Selecione Ação > Atualizar com metadados.

    2. Selecione Escolher arquivo e carregue os metadados.

    3. Selecione Avançar.

    4. Selecione Salvar.

  4. Resolva o erro devido ao atributo não utilizado:

    1. Selecione a nova conexão.

    2. Selecione Configurar SSO do navegador > Configurar criação de asserção > Contrato de atributo.

    3. Exclua a entrada para urn:oid.

    4. Selecione Salvar.