本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
设置多因素身份验证
贡献者
建议更改
PDF
您可以通过 Element API 使用这些基本步骤来设置集群以使用多因素身份验证。
有关每个API方法的详细信息,请参见"Element API 参考"。
-
通过调用以下API方法并以JSON格式传递Idp元数据、为集群创建新的第三方身份提供程序(Identity Provider、Idp)配置:
CreateIdpConfiguration从第三方 IdP 检索纯文本格式的 IdP 元数据。需要验证此元数据,以确保其在 JSON 中格式正确。您可以使用许多JSON格式化程序应用程序,例如:https://freeformatter.com/json-escape.html.
-
通过spMetadataUrl检索集群元数据、以便通过调用以下API方法复制到第三方Idp:
ListIdpConfigurationsspMetadataUrl 是一个 URL ,用于从集群中为 IdP 检索服务提供商元数据,以便建立信任关系。
-
在第三方 IdP 上配置 SAML 断言,使其包含 "`NameID` " 属性,以便为审核日志记录和单点注销正确识别用户。
-
通过调用以下API方法、创建一个或多个由第三方Idp进行身份验证的集群管理员用户帐户以进行授权:
AddIdpClusterAdmin
IdP 集群管理员的用户名应与 SAML 属性名称 / 值映射匹配以获得所需效果,如以下示例所示: -
email=bob@company.com —其中 IdP 配置为释放 SAML 属性中的电子邮件地址。
-
group=cluster-administrator —其中 IdP 配置为释放所有用户都应具有访问权限的组属性。请注意,出于安全考虑, SAML 属性名称 / 值配对区分大小写。
-
-
通过调用以下API方法为集群启用MFA:
EnableIdpAuthentication