使用 Windows PowerShell 创建依赖方信任

您可以使用 Windows PowerShell 快速创建一个或多个依赖方信任。

开始之前

关于本任务

这些说明适用于 Windows Server 2016 附带的 AD FS 4.0 。如果您使用的是 Windows 2012 R2 附带的 AD FS 3.0 ,则会注意到该过程略有不同。如果您有任何疑问,请参见 Microsoft AD FS 文档。

过程

  1. 从 Windows 开始菜单中,右键单击 PowerShell 图标,然后选择 Run as Administrator
  2. 在 PowerShell 命令提示符处,输入以下命令:Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
    • 对于 Admin_Node_Identifier,输入管理节点的依赖方标识符,与单点登录页面上显示的一致。例如 , SG-DC1-ADM1

    • 对于 Admin_Node_FQDN,输入同一管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)
  3. 在 Windows Server Manager 中选择 Tools > AD FS Management
    此时将显示 AD FS 管理工具。
  4. 选择AD FS > Relying Party Trusts
    此时将显示依赖方信任列表。
  5. 向新创建的依赖方信任添加访问控制策略:
    1. 找到您刚刚创建的依赖方信任。
    2. 右键单击此信任关系,然后选择 Edit Access Control Policy
    3. 选择访问控制策略。
    4. 单击 Apply,然后单击 OK
  6. 将款项申请发放策略添加到新创建的相关方信任:
    1. 找到您刚刚创建的依赖方信任。
    2. 右键单击此信任,然后选择 编辑款项申请发放策略
    3. 单击 Add rule
    4. Select Rule Template 页面 Send LDAP Attributes as Claims 上,从列表中选择,然后单击 Next
    5. Configure Rule 页面上,输入此规则的显示名称。
      例如,ObjectGUID to Name ID
    6. 对于属性存储,选择 Active Directory
    7. LDAP Attribute 映射表的列中,键入 objectGUID
    8. Outgoing Claim Type 映射表的列 Name ID 中,从下拉列表中选择。
    9. 单击 Finish,然后单击 OK
  7. 确认元数据已成功导入。
    1. 右键单击依赖方信任以打开其属性。
    2. 确认 Endpoints IdentifiersSignature 填充,和选项卡上的字段。
      如果缺少元数据,请确认联合元数据地址是否正确,或者只需手动输入值即可。
  8. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。
  9. 完成后,返回 StorageGRID 并测试所有相关方信任,以确认其配置正确。