设置多重身份验证
建议更改
PDF
多因素身份验证 (MFA) 使用第三方身份提供商 (IdP) 通过安全断言标记语言 (SAML) 来管理用户会话。 MFA 允许管理员根据需要配置其他身份验证因素,例如密码和短信,以及密码和电子邮件。
您可以使用 Element API 的以下基本步骤来设置集群以使用多因素身份验证。
每个 API 方法的详细信息可以在以下位置找到: "元素 API 参考"。
-
通过调用以下 API 方法并以 JSON 格式传递 IdP 元数据,为集群创建新的第三方身份提供商 (IdP) 配置:
CreateIdpConfiguration从第三方身份提供商 (IdP) 检索纯文本格式的身份提供商元数据。需要验证此元数据,以确保其 JSON 格式正确。有很多 JSON 格式化应用程序可供使用,例如: https://freeformatter.com/json-escape.html.
-
通过 spMetadataUrl 检索集群元数据,并通过调用以下 API 方法将其复制到第三方身份提供商:
ListIdpConfigurationsspMetadataUrl 是一个 URL,用于从集群中检索身份提供商 (IdP) 的元数据,以便建立信任关系。
-
在第三方身份提供商 (IdP) 上配置 SAML 断言,使其包含“
NameID”属性,以便唯一标识用户进行审计日志记录,并使单点注销功能正常运行。 -
通过调用以下 API 方法,创建一个或多个由第三方身份提供商 (IdP) 进行身份验证的集群管理员用户帐户:
AddIdpClusterAdmin
为了达到预期效果,IdP 集群管理员的用户名应与 SAML 属性名称/值映射相匹配,如下例所示: -
email=bob@company.com — 其中 IdP 配置为在 SAML 属性中发布电子邮件地址。
-
group=cluster-administrator - 其中 IdP 配置为释放一个组属性,所有用户都应该有权访问该组属性。请注意,出于安全考虑,SAML 属性名称/值对区分大小写。
-
-
通过调用以下 API 方法为集群启用 MFA:
EnableIdpAuthentication