Skip to main content
Setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将身份联合与BlueXP结合使用

贡献者
PDF

_Identity Federation_支持使用BlueXP进行单点登录、以便用户可以使用您公司身份的凭据进行登录。首先、了解身份联合如何与BlueXP配合使用、然后查看设置过程概述。

使用NSS凭据的身份联合

如果您使用NetApp 支持站点 (NSS)凭据登录到BlueXP、则不应按照此页面上的说明设置身份联合。您应改为执行以下操作:

NetApp身份和访问管理团队将审核您的请求。

身份联合的工作原理

设置身份联合会在BlueXP的身份验证服务提供程序(auth0)与您自己的身份管理提供程序之间创建信任连接。

下图展示了身份联合如何与BlueXP配合使用:

一个示意图、其中显示了使用BlueXP进行身份验证的用户、以及BlueXP与身份提供程序之间的连接、用于对用户进行身份验证。

  1. 用户在BlueXP登录页面上输入其电子邮件地址。

  2. BlueXP会确定电子邮件域是联合连接的一部分、并使用可信连接将身份验证请求发送给身份提供程序。

    设置联合连接时、BlueXP始终使用该联合连接进行身份验证。

  3. 用户使用公司目录中的凭据进行身份验证。

  4. 您的身份提供程序将对用户的身份进行身份验证、用户将登录到BlueXP。

身份联合使用开放标准、例如安全断言标记语言2.0 (SAML)和OpenID Connect (OIDC)。

支持的身份提供程序

BlueXP支持以下身份提供程序:

  • 安全断言标记语言(SAML)身份提供程序

  • Microsoft Entra ID

  • Active Directory 联合身份验证服务( ADFS )

  • PingFederate

BlueXP仅支持服务提供商启动(SP启动)的SSO。不支持身份提供程序启动(IdP启动)的SSO。

设置过程概述

在BlueXP与身份管理提供程序之间建立连接之前、您应了解需要执行的步骤、以便能够进行相应的准备。

这些步骤特定于使用NetApp云登录登录到BlueXP的用户。如果使用NSS凭据登录到BlueXP、 了解如何使用NSS凭据设置身份联合

SAML身份提供程序

概括地说、在BlueXP和SAML身份提供程序之间设置联合连接包括以下步骤:

步骤 完成者 Description

1.

Active Directory (AD)管理员

配置SAML身份提供程序以启用与BlueXP的身份联合。

查看SAML身份提供程序的说明:

如果您的身份提供程序未显示在上述列表中、 "请按照以下通用说明进行操作"

提示 Do not complete the steps that describe how to create a connection in auth0。您将在下一步中创建此连接。

2.

BlueXP管理员

转至 "NetApp联合设置页面" 并创建与BlueXP的连接。

要完成此步骤、您需要从AD管理员处获取有关身份提供程序的以下信息:

  • 登录URL

  • X509签名证书(PEM或CERs格式)

  • 注销URL (可选)

使用此信息创建连接后、"Federation Setup"页面将列出可发送给AD管理员以在下一步完成配置的参数。

备注 记下证书到期日期。您需要返回到"联盟设置"页面并更新证书_Before _、它将过期。这是您的责任。BlueXP不会跟踪到期日期。最好与您的广告团队合作、以便及时收到警报。

3.

AD管理员

完成步骤2后、使用"Federation Setup"页面上显示的参数在身份提供程序上完成配置。

4.

BlueXP管理员

从测试并启用连接 "NetApp联合设置页面"

请注意、此页面会在测试连接和启用连接之间刷新。

Microsoft Entra ID

总体而言、在BlueXP和Microsoft Entra ID之间设置联合连接包括以下步骤:

步骤 完成者 Description

1.

AD管理员

配置Microsoft Entra ID以启用与BlueXP的身份联合。

"查看有关使用Microsoft Entra ID注册应用程序的说明"

提示 Do not complete the steps that describe how to create a connection in auth0。您将在下一步中创建此连接。

2.

BlueXP管理员

转至 "NetApp联合设置页面" 并创建与BlueXP的连接。

要完成此步骤、您需要从AD管理员处获取以下信息:

  • 客户端 ID

  • 客户端密钥值

  • Microsoft Entra ID域

使用此信息创建连接后、"Federation Setup"页面将列出可发送给AD管理员以在下一步完成配置的参数。

备注 记下机密密钥的到期日期。您需要返回到"联盟设置"页面并更新证书_Before _、它将过期。这是您的责任。BlueXP不会跟踪到期日期。最好与您的广告团队合作、以便及时收到警报。

3.

AD管理员

完成步骤2后、使用"联合身份验证设置"页面上显示的参数在Microsoft Entra ID中完成配置。

4.

BlueXP管理员

从测试并启用连接 "NetApp联合设置页面"

请注意、此页面会在测试连接和启用连接之间刷新。

ADFS

总体而言、在BlueXP和ADFS之间设置联合连接包括以下步骤:

步骤 完成者 Description

1.

AD管理员

配置ADFS服务器以启用与BlueXP的身份联合。

"查看使用auth0配置ADFS服务器的说明"

2.

BlueXP管理员

转至 "NetApp联合设置页面" 并创建与BlueXP的连接。

要完成此步骤、您需要从AD管理员处获取以下内容:ADFS服务器的URL或联合元数据文件。

使用此信息创建连接后、"Federation Setup"页面将列出可发送给AD管理员以在下一步完成配置的参数。

备注 记下证书到期日期。您需要返回到"联盟设置"页面并更新证书_Before _、它将过期。这是您的责任。BlueXP不会跟踪到期日期。最好与您的广告团队合作、以便及时收到警报。

3.

AD管理员

完成步骤2后、使用"Federation Setup"页面上显示的参数完成ADFS服务器上的配置。

4.

BlueXP管理员

从测试并启用连接 "NetApp联合设置页面"

请注意、此页面会在测试连接和启用连接之间刷新。

PingFederate

概括地说、在BlueXP和PingFederate服务器之间设置联合连接包括以下步骤:

步骤 完成者 Description

1.

AD管理员

配置PingFederate服务器以启用与BlueXP的身份联合。

"查看有关创建连接的说明"

提示 Do not complete the steps that describe how to create a connection in auth0。您将在下一步中创建此连接。

2.

BlueXP管理员

转至 "NetApp联合设置页面" 并创建与BlueXP的连接。

要完成此步骤、您需要从AD管理员处获取以下信息:

  • PingFederate服务器的URL

  • X509签名证书(PEM或CERs格式)

使用此信息创建连接后、"Federation Setup"页面将列出可发送给AD管理员以在下一步完成配置的参数。

备注 记下证书到期日期。您需要返回到"联盟设置"页面并更新证书_Before _、它将过期。这是您的责任。BlueXP不会跟踪到期日期。最好与您的广告团队合作、以便及时收到警报。

3.

AD管理员

完成步骤2后、使用"Federation Setup"页面上显示的参数在PingFederate服务器上完成配置。

4.

BlueXP管理员

从测试并启用连接 "NetApp联合设置页面"

请注意、此页面会在测试连接和启用连接之间刷新。

更新联合连接

在BlueXP管理员启用连接后、管理员可以随时从更新此连接 "NetApp联合设置页面"

例如、您可能需要通过上传新证书来更新连接。

创建连接的BlueXP管理员是唯一可以更新连接的授权用户。如果您要添加其他管理员、请联系NetApp支持部门。