通过导入联合元数据创建依赖方信任

您可以通过访问每个管理节点的 SAML 元数据来导入每个依赖方信任的值。

开始之前

您已在 StorageGRID，并且知道系统中每个管理节点的完全限定域名（或 IP 地址）和依赖方标识符。
注：您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任，可确保用户可以安全地登录和注销任何管理节点。
您有在 AD FS 中创建依赖方信任的经验，也可以访问 Microsoft AD FS 文档。
您正在使用 AD FS 管理单元，并且属于管理员组。

关于本任务

这些说明适用于 Windows Server 2016 附带的 AD FS 4.0 。如果您使用的是 Windows 2012 R2 附带的 AD FS 3.0 ，则会注意到该过程略有不同。如果您有任何疑问，请参见 Microsoft AD FS 文档。

过程

在 Windows Server Manager 中，单击 Tools，然后选择 AD FS Management。
在操作下，单击 Add Relying Party Trust。
在欢迎页面上，选择 Claims aware，然后单击 Start。
选择Import data about the relying party published online or on a local network。
在 Federation metadata address (host name or URL)中，键入此管理节点的 SAML 元数据的位置： https://Admin_Node_FQDN/api/saml-metadata
对于 Admin_Node_FQDN，输入同一管理节点的完全限定域名。（如有必要，您可以改用节点的 IP 地址。但是，如果您在此处输入 IP 地址，请注意，如果此依赖方信任的 IP 地址发生更改，您必须更新或重新创建此信任。）
完成依赖方信任向导，保存依赖方信任并关闭该向导。
注：输入显示名称时，请使用管理节点的依赖方标识符，与 Single Sign-on网格管理器中页面上显示的完全相同。例如 ， SG-DC1-ADM1。
添加声明规则：
1. 右键单击此信任，然后选择 编辑款项申请发放策略。
2. 单击 Add rule：
3. 在 Select Rule Template 页面 Send LDAP Attributes as Claims 上，从列表中选择，然后单击 Next。
4. 在 Configure Rule 页面上，输入此规则的显示名称。
  例如，ObjectGUID to Name ID。
5. 对于属性存储，选择 Active Directory。
6. 在 LDAP Attribute 映射表的列中，键入 objectGUID。
7. 在 Outgoing Claim Type 映射表的列 Name ID 中，从下拉列表中选择。
8. 单击 Finish，然后单击 OK。
确认元数据已成功导入。
1. 右键单击依赖方信任以打开其属性。
2. 确认 Endpoints已 IdentifiersSignature 填充，和选项卡上的字段。
  如果缺少元数据，请确认联合元数据地址是否正确，或者只需手动输入值即可。
重复上述步骤，为 StorageGRID 系统中的所有管理节点配置依赖方信任。
完成后，返回 StorageGRID 并测试所有相关方信任，以确认其配置正确。