使用沙盒模式

在为 StorageGRID 用户强制实施单点登录( SSO ) StorageGRID启用 SSO 后,您可以重新启用沙盒模式以配置或测试新的和现有的依赖方信任。重新启用沙盒模式会暂时禁用 StorageGRID 用户的 SSO 。

开始之前

关于本任务

启用 SSO 后,如果用户尝试登录到管理节点, StorageGRID 会向 AD FS 发送身份验证请求。反过来, AD FS 会将身份验证响应发送回 StorageGRID,指示授权请求是否成功。对于成功的请求,响应会为用户提供一个通用唯一标识符( UUID )。

要允许 StorageGRID (服务提供商)和 AD FS (身份提供程序)就用户身份验证请求进行安全通信,您必须在 StorageGRID中配置某些设置。接下来,您必须使用 AD FS 为每个管理节点创建依赖方信任。最后,您必须返回 StorageGRID 以启用 SSO 。

使用沙盒模式,可以轻松执行此背面配置,并在启用 SSO 之前测试所有设置。

注: 强烈建议使用沙盒模式,但严格地说,这并不是必需的。如果您准备在 StorageGRID,并且不需要测试每个管理节点的 SSO 和单点注销( SLO )进程,请单击 Enabled,输入 StorageGRID 设置,为 AD FS 中的每个管理节点创建依赖方信任 Save ,然后单击以启用 SSO 。

过程

  1. 选择 Configuration > Single Sign-on
    Single Sign-on 此时将显示页面,并 Disabled 选中相应选项。
    已禁用 SSO 状态的单点登录页面
    注: 如果未显示 SSO 状态选项,请确认您已将 Active Directory 配置为联合身份源。请参见 使用单点登录的要求。
  2. 选择Sandbox Mode选项。
    此时将显示身份提供程序和依赖方设置。在身份提供程序部分中 Service Type ,此字段为只读。它显示了您正在使用的身份联合服务的类型(例如 Active Directory )。
  3. Identity Provider 部分中:
    1. 输入与 AD FS 中显示的名称完全相同的联合服务名称。
      注: 要查找联合服务名称,请转到 Windows Server Manager 。选择Tools > AD FS Management。从操作菜单中选择 Edit Federation Service Properties。联合服务名称显示在第二个字段中。
    2. 指定在身份提供程序响应 StorageGRID 请求发送 SSO 配置信息时是否要使用传输层安全( TLS )来保护连接。
      • Use operating system CA certificate:使用操作系统上安装的默认 CA 证书来保护连接。
      • Use custom CA certificate:使用自定义 CA 证书确保连接安全。

        如果选择此设置,请在 CA Certificate 文本框中复制并粘贴此证书。

      • Do not use TLS:请勿使用 TLS 证书来保护连接。
  4. Relying Party 部分中,指定 StorageGRID 配置依赖方信任时要用于 StorageGRID 管理节点的依赖方标识符。
    • 例如,如果您的网格只有一个管理节点,并且您预计将来不会添加更多管理节点,请输入 SGStorageGRID
    • 如果网格包含多个管理节点,请在 标识符中包含字符串 [HOSTNAME] 。例如 , SG-[HOSTNAME]。此操作将生成一个表,其中包含每个管理节点的依赖方标识符,该标识符基于节点的主机名。
    注: 您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。

    为多个管理节点显示了单点登录,沙盒模式已启用,相关方标识符
  5. 单击 Save
    • Save 此按钮上会显示一个绿色复选标记几秒钟。
      带有绿色复选标记的保存按钮
    • Sandbox mode 此时将显示确认通知,确认现在已启用沙盒模式。您可以在使用 AD FS 为每个管理节点配置依赖方信任并测试单点登录( SSO )和单点注销( SLO )进程时使用此模式。
      已启用 SSO 沙盒模式