Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Criar confiança de parte confiável no AD FS

Colaboradores

Você deve usar os Serviços de Federação do ative Directory (AD FS) para criar uma confiança de parte confiável para cada nó de administração em seu sistema. Você pode criar trusts confiáveis de parte usando comandos do PowerShell, importando metadados SAML do StorageGRID ou inserindo os dados manualmente.

Antes de começar
  • Você configurou o logon único para o StorageGRID e selecionou AD FS como o tipo SSO.

  • O modo Sandbox está selecionado na página de logon único no Gerenciador de Grade. "Use o modo sandbox"Consulte .

  • Você conhece o nome de domínio totalmente qualificado (ou o endereço IP) e o identificador de entidade dependente para cada nó de administração no seu sistema. Você pode encontrar esses valores na tabela de detalhes dos nós de administração na página de logon único do StorageGRID.

    Observação Você deve criar uma confiança de parte confiável para cada nó de administrador no seu sistema StorageGRID. Ter uma confiança de parte confiável para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração.
  • Você tem experiência em criar confiança de parte confiável no AD FS ou tem acesso à documentação do Microsoft AD FS.

  • Você está usando o snap-in Gerenciamento do AD FS e pertence ao grupo Administradores.

  • Se você estiver criando a confiança de parte confiável manualmente, você tem o certificado personalizado que foi carregado para a interface de gerenciamento do StorageGRID ou sabe como fazer login em um nó de administrador a partir do shell de comando.

Sobre esta tarefa

Estas instruções aplicam-se ao Windows Server 2016 AD FS. Se você estiver usando uma versão diferente do AD FS, você notará pequenas diferenças no procedimento. Consulte a documentação do Microsoft AD FS se tiver dúvidas.

Crie uma confiança de parte confiável usando o Windows PowerShell

Você pode usar o Windows PowerShell para criar rapidamente uma ou mais trusts de parte confiáveis.

Passos
  1. No menu Iniciar do Windows, selecione o ícone do PowerShell com o botão direito e selecione Executar como Administrador.

  2. No prompt de comando do PowerShell, digite o seguinte comando:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Para Admin_Node_Identifier, insira o Identificador de parte dependente para o nó Admin, exatamente como aparece na página Início de sessão único. Por exemplo, SG-DC1-ADM1.

    • Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado para o mesmo nó de administração. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

  3. No Gerenciador do Windows Server, selecione Ferramentas > Gerenciamento do AD FS.

    A ferramenta de gerenciamento do AD FS é exibida.

  4. Selecione AD FS > confiar em parts.

    É apresentada a lista de confianças de partes dependentes.

  5. Adicione uma Política de Controle de Acesso à confiança da entidade dependente recém-criada:

    1. Localize a confiança de quem confia que você acabou de criar.

    2. Clique com o botão direito do rato na fidedignidade e selecione Editar política de controlo de acesso.

    3. Selecione uma política de controlo de acesso.

    4. Selecione aplicar e OK

  6. Adicione uma Política de emissão de reclamação à recém-criada confiança da parte dependente:

    1. Localize a confiança de quem confia que você acabou de criar.

    2. Clique com o botão direito do rato na confiança e selecione Editar política de emissão de reclamação.

    3. Selecione Adicionar regra.

    4. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como reivindicações na lista e selecione Avançar.

    5. Na página Configurar regra, insira um nome de exibição para essa regra.

      Por exemplo, ObjectGUID para ID de nome ou UPN para ID de nome.

    6. Para o Attribute Store, selecione ative Directory.

    7. Na coluna LDAP Attribute da tabela Mapping, digite objectGUID ou selecione User-Principal-Name.

    8. Na coluna Outgoing Claim Type (tipo de reclamação de saída) da tabela Mapeamento, selecione Name ID (ID do nome) na lista suspensa.

    9. Selecione Finish e OK.

  7. Confirme se os metadados foram importados com sucesso.

    1. Clique com o botão direito do rato na confiança da parte dependente para abrir as suas propriedades.

    2. Confirme se os campos nas guias Endpoints, Identificadores e assinatura estão preenchidos.

      Se os metadados estiverem ausentes, confirme se o endereço de metadados da Federação está correto ou insira os valores manualmente.

  8. Repita essas etapas para configurar uma confiança de parte confiável para todos os nós de administração no sistema StorageGRID.

  9. Quando terminar, retorne ao StorageGRID e teste todas as confianças de terceiros confiáveis para confirmar que elas estão configuradas corretamente. "Use o modo Sandbox"Consulte para obter instruções.

Crie uma confiança de parte confiável importando metadados de federação

Você pode importar os valores de cada confiança de parte confiável acessando os metadados SAML para cada nó de administração.

Passos
  1. No Gerenciador do Windows Server, selecione Ferramentas e Gerenciamento do AD FS.

  2. Em ações, selecione Adicionar confiança de parte dependente.

  3. Na página de boas-vindas, escolha reconhecimento de reclamações e selecione Iniciar.

  4. Selecione Importar dados sobre a parte dependente publicada on-line ou em uma rede local.

  5. Em Endereço de metadados de Federação (nome do host ou URL), digite o local dos metadados SAML para este nó de administração:

    https://Admin_Node_FQDN/api/saml-metadata

    Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado para o mesmo nó de administração. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

  6. Conclua o assistente confiar na parte confiável, salve a confiança da parte confiável e feche o assistente.

    Observação Ao inserir o nome de exibição, use o Identificador de parte confiável para o nó Admin, exatamente como ele aparece na página de logon único no Gerenciador de Grade. Por exemplo, SG-DC1-ADM1.
  7. Adicionar uma regra de reclamação:

    1. Clique com o botão direito do rato na confiança e selecione Editar política de emissão de reclamação.

    2. Selecione Adicionar regra:

    3. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como reivindicações na lista e selecione Avançar.

    4. Na página Configurar regra, insira um nome de exibição para essa regra.

      Por exemplo, ObjectGUID para ID de nome ou UPN para ID de nome.

    5. Para o Attribute Store, selecione ative Directory.

    6. Na coluna LDAP Attribute da tabela Mapping, digite objectGUID ou selecione User-Principal-Name.

    7. Na coluna Outgoing Claim Type (tipo de reclamação de saída) da tabela Mapeamento, selecione Name ID (ID do nome) na lista suspensa.

    8. Selecione Finish e OK.

  8. Confirme se os metadados foram importados com sucesso.

    1. Clique com o botão direito do rato na confiança da parte dependente para abrir as suas propriedades.

    2. Confirme se os campos nas guias Endpoints, Identificadores e assinatura estão preenchidos.

      Se os metadados estiverem ausentes, confirme se o endereço de metadados da Federação está correto ou insira os valores manualmente.

  9. Repita essas etapas para configurar uma confiança de parte confiável para todos os nós de administração no sistema StorageGRID.

  10. Quando terminar, retorne ao StorageGRID e teste todas as confianças de terceiros confiáveis para confirmar que elas estão configuradas corretamente. "Use o modo Sandbox"Consulte para obter instruções.

Crie uma confiança de parte confiável manualmente

Se você optar por não importar os dados para as partes confiáveis, você poderá inserir os valores manualmente.

Passos
  1. No Gerenciador do Windows Server, selecione Ferramentas e Gerenciamento do AD FS.

  2. Em ações, selecione Adicionar confiança de parte dependente.

  3. Na página de boas-vindas, escolha reconhecimento de reclamações e selecione Iniciar.

  4. Selecione Digite os dados sobre a parte que depende manualmente e selecione Next.

  5. Conclua o assistente confiança da parte dependente:

    1. Introduza um nome de apresentação para este nó de administração.

      Para obter consistência, use o Identificador de parte confiável para o nó Admin, exatamente como ele aparece na página de logon único no Gerenciador de Grade. Por exemplo, SG-DC1-ADM1.

    2. Ignore a etapa para configurar um certificado de criptografia de token opcional.

    3. Na página Configurar URL, marque a caixa de seleção Ativar suporte para o protocolo SAML 2,0 WebSSO.

    4. Digite o URL do endpoint do serviço SAML para o nó Admin:

      https://Admin_Node_FQDN/api/saml-response

      Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado para o nó Admin. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

    5. Na página Configurar Identificadores, especifique o Identificador da parte de dependência para o mesmo nó de administração:

      Admin_Node_Identifier

      Para Admin_Node_Identifier, insira o Identificador de parte dependente para o nó Admin, exatamente como aparece na página Início de sessão único. Por exemplo, SG-DC1-ADM1.

    6. Revise as configurações, salve a confiança da parte confiável e feche o assistente.

      A caixa de diálogo Editar política de emissão de reclamação é exibida.

    Observação Se a caixa de diálogo não for exibida, clique com o botão direito do Mouse no Trust e selecione Editar política de emissão de reclamação.
  6. Para iniciar o assistente de regra de reclamação, selecione Adicionar regra:

    1. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como reivindicações na lista e selecione Avançar.

    2. Na página Configurar regra, insira um nome de exibição para essa regra.

      Por exemplo, ObjectGUID para ID de nome ou UPN para ID de nome.

    3. Para o Attribute Store, selecione ative Directory.

    4. Na coluna LDAP Attribute da tabela Mapping, digite objectGUID ou selecione User-Principal-Name.

    5. Na coluna Outgoing Claim Type (tipo de reclamação de saída) da tabela Mapeamento, selecione Name ID (ID do nome) na lista suspensa.

    6. Selecione Finish e OK.

  7. Clique com o botão direito do rato na confiança da parte dependente para abrir as suas propriedades.

  8. Na guia Endpoints, configure o endpoint para logout único (SLO):

    1. Selecione Adicionar SAML.

    2. Selecione Endpoint Type > SAML Logout.

    3. Selecione Binding > Redirect.

    4. No campo URL confiável, insira a URL usada para logout único (SLO) deste nó Admin:

      https://Admin_Node_FQDN/api/saml-logout

    Para Admin_Node_FQDN, introduza o nome de domínio totalmente qualificado do nó de administração. (Se necessário, você pode usar o endereço IP do nó em vez disso. No entanto, se você inserir um endereço IP aqui, esteja ciente de que você deve atualizar ou recriar essa confiança de parte confiável se esse endereço IP mudar alguma vez.)

    1. Selecione OK.

  9. Na guia assinatura, especifique o certificado de assinatura para essa confiança de parte confiável:

    1. Adicione o certificado personalizado:

      • Se tiver o certificado de gestão personalizado que carregou no StorageGRID, selecione esse certificado.

      • Se você não tiver o certificado personalizado, faça login no Admin Node, vá para /var/local/mgmt-api o diretório do Admin Node e adicione o custom-server.crt arquivo de certificado.

        Observação O uso do certificado padrão do Admin Node (server.crt) não é recomendado. Se o nó Admin falhar, o certificado padrão será regenerado quando você recuperar o nó e você precisará atualizar a confiança da parte confiável.
    2. Selecione aplicar e OK.

      As propriedades da parte dependente são salvas e fechadas.

  10. Repita essas etapas para configurar uma confiança de parte confiável para todos os nós de administração no sistema StorageGRID.

  11. Quando terminar, retorne ao StorageGRID e teste todas as confianças de terceiros confiáveis para confirmar que elas estão configuradas corretamente. "Use o modo sandbox"Consulte para obter instruções.