设置多重身份验证

您可以通过 Element API 使用这些基本步骤来设置集群以使用多重身份验证。有关每种 API 方法的详细信息,请参见《Element API 参考指南》。

过程

  1. 通过调用以下 API 方法并以 JSON 格式传递 IDP 元数据、为集群创建新的第三方身份认证提供者( IDP )配置: CreateIdpConfiguration

    从第三方 IDP 检索纯文本格式的 IDP 元数据。需要验证此元数据以确保其在 JSON 中格式正确。您可以使用许多 JSON 格式化板应用程序,例如:https://freeformatter.com/json-escape.html

  2. 通过 spmetadataurl 检索集群元数据、通过调用以下 API 方法复制到第三方 IDP : ListIdpConfigurations

    Spmetadataurl 是一个 URL ,用于从群集中检索 IDP 的服务提供者元数据、以建立信任关系。

  3. 将第三方 IDP 上的 SAML 断言配置为包括 "NameID" 属性、以便唯一标识用户以进行审计日志记录并使单点注销正常运行。
  4. 通过调用以下 API 方法创建一个或多个由第三方 IDP 验证的集群管理员用户帐户以进行授权: AddIdpClusterAdmin
    注: IDP 集群管理员的用户名应与 SAML 属性名称 / 值映射匹配以获得所需效果,如以下示例所示:
    • 电子邮件 = bob@company.com - 其中 IDP 配置为释放 SAML 属性中的电子邮件地址。
    • group=cluster-administrator —其中 IDP 配置为释放所有用户都应具有访问权限的组属性。
    请注意,为了安全起见、 SAML 属性名称 / 值配对也区分大小写。
  5. 通过调用以下 API 方法为集群启用 MFA : EnableIdpAuthentication