使用沙盒模式

在为 StorageGRID 用户强制实施单点登录（ SSO ） StorageGRID启用 SSO 后，您可以重新启用沙盒模式以配置或测试新的和现有的依赖方信任。重新启用沙盒模式会暂时禁用 StorageGRID 用户的 SSO 。

开始之前

您必须使用支持的浏览器登录到网格管理器。
您必须具有特定的访问权限。

关于本任务

启用 SSO 后，如果用户尝试登录到管理节点， StorageGRID 会向 AD FS 发送身份验证请求。反过来， AD FS 会将身份验证响应发送回 StorageGRID，指示授权请求是否成功。对于成功的请求，响应会为用户提供一个通用唯一标识符（ UUID ）。

要允许 StorageGRID （服务提供商）和 AD FS （身份提供程序）就用户身份验证请求进行安全通信，您必须在 StorageGRID中配置某些设置。接下来，您必须使用 AD FS 为每个管理节点创建依赖方信任。最后，您必须返回 StorageGRID 以启用 SSO 。

使用沙盒模式，可以轻松执行此背面配置，并在启用 SSO 之前测试所有设置。

注：强烈建议使用沙盒模式，但严格地说，这并不是必需的。如果您准备在 StorageGRID，并且不需要测试每个管理节点的 SSO 和单点注销（ SLO ）进程，请单击 Enabled，输入 StorageGRID 设置，为 AD FS 中的每个管理节点创建依赖方信任 Save ，然后单击以启用 SSO 。

过程

选择 Configuration > Single Sign-on。
Single Sign-on 此时将显示页面，并 Disabled 选中相应选项。

注：如果未显示 SSO 状态选项，请确认您已将 Active Directory 配置为联合身份源。请参见使用单点登录的要求。
选择Sandbox Mode选项。
此时将显示身份提供程序和依赖方设置。在身份提供程序部分中 Service Type ，此字段为只读。它显示了您正在使用的身份联合服务的类型（例如 Active Directory ）。
在 Identity Provider 部分中：
1. 输入与 AD FS 中显示的名称完全相同的联合服务名称。
  注：要查找联合服务名称，请转到 Windows Server Manager 。选择Tools > AD FS Management。从操作菜单中选择 Edit Federation Service Properties。联合服务名称显示在第二个字段中。
2. 指定在身份提供程序响应 StorageGRID 请求发送 SSO 配置信息时是否要使用传输层安全（ TLS ）来保护连接。
  - Use operating system CA certificate：使用操作系统上安装的默认 CA 证书来保护连接。
  - Use custom CA certificate：使用自定义 CA 证书确保连接安全。
    如果选择此设置，请在 CA Certificate 文本框中复制并粘贴此证书。
  - Do not use TLS：请勿使用 TLS 证书来保护连接。
在 Relying Party 部分中，指定 StorageGRID 配置依赖方信任时要用于 StorageGRID 管理节点的依赖方标识符。
- 例如，如果您的网格只有一个管理节点，并且您预计将来不会添加更多管理节点，请输入 SG 或 StorageGRID。
- 如果网格包含多个管理节点，请在 标识符中包含字符串 [HOSTNAME] 。例如， SG-[HOSTNAME]。此操作将生成一个表，其中包含每个管理节点的依赖方标识符，该标识符基于节点的主机名。
注：您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任，可确保用户可以安全地登录和注销任何管理节点。
单击 Save。
- Save 此按钮上会显示一个绿色复选标记几秒钟。
- Sandbox mode 此时将显示确认通知，确认现在已启用沙盒模式。您可以在使用 AD FS 为每个管理节点配置依赖方信任并测试单点登录（ SSO ）和单点注销（ SLO ）进程时使用此模式。