手动创建依赖方信任

如果您选择不导入依赖部件信任的数据,则可以手动输入值。

开始之前

关于本任务

这些说明适用于 Windows Server 2016 附带的 AD FS 4.0 。如果您使用的是 Windows 2012 R2 附带的 AD FS 3.0 ,则会注意到该过程略有不同。如果您有任何疑问,请参见 Microsoft AD FS 文档。

过程

  1. 在 Windows Server Manager 中,单击 Tools,然后选择 AD FS Management
  2. 在操作下,单击 Add Relying Party Trust
  3. 在欢迎页面上,选择 Claims aware,然后单击 Start
  4. 选择 Enter data about the relying party manually,然后单击 Next
  5. 完成依赖方信任向导:
    1. 输入此管理节点的显示名称。
      为确保一致性,请使用管理节点的依赖方标识符,与中 Single Sign-on 页面上显示的完全相同 网格管理器。例如 , SG-DC1-ADM1
    2. 跳过此步骤可配置可选令牌加密证书。
    3. 在配置 URL 页面上,选中 Enable support for the SAML 2.0 WebSSO protocol 复选框。
    4. 键入管理节点的 SAML 服务端点 URL : https://Admin_Node_FQDN/api/saml-response
      对于 Admin_Node_FQDN,输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)
    5. 在配置标识符页面上,指定同一管理节点的依赖方标识符:Admin_Node_Identifier
      对于 Admin_Node_Identifier,输入管理节点的依赖方标识符 Single Sign-on ,与页面上显示的完全相同。例如 , SG-DC1-ADM1
    6. 查看设置,保存依赖方信任并关闭向导。
      此时将显示编辑款项申请发放策略对话框。
      注: 如果未显示此对话框,请右键单击此信任关系,然后选择 Edit claim issuance policy
  6. 要启动 Claim Rule 向导,请单击 Add rule
    1. Select Rule Template 页面 Send LDAP Attributes as Claims 上,从列表中选择,然后单击 Next
    2. Configure Rule 页面上,输入此规则的显示名称。
      例如,ObjectGUID to Name ID
    3. 对于属性存储,选择 Active Directory
    4. LDAP Attribute 映射表的列中,键入 objectGUID
    5. Outgoing Claim Type 映射表的列 Name ID 中,从下拉列表中选择。
    6. 单击 Finish,然后单击 OK
  7. 右键单击依赖方信任以打开其属性。
  8. Endpoints 选项卡上,为单点注销( SLO )配置端点:
    1. 单击 Add SAML
    2. 选择Endpoint Type > SAML Logout
    3. 选择Binding > Redirect
    4. Trusted URL 字段中,输入用于从此管理节点单点注销( SLO )的 URL : https://Admin_Node_FQDN/api/saml-logout
      对于 Admin_Node_FQDN,输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)
    5. 单击 OK
  9. Signature 选项卡上,指定此依赖方信任的签名证书:
    1. 添加自定义证书:
      • 如果您已将自定义管理证书上传到 StorageGRID,请选择该证书。
      • 如果您没有自定义证书,请登录到管理节点,转到 /var/local/mgmt-api 管理节点的目录并添加 custom-server.crt 证书文件。
      注: server.crt不建议使用管理节点的默认证书()。如果管理节点出现故障,则在恢复节点时将重新生成默认证书,您需要更新依赖方信任。
    2. 单击 Apply,然后单击 OK
      依赖方属性将被保存并关闭。
  10. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。
  11. 完成后,返回 StorageGRID 并测试所有相关方信任,以确认其配置正确。