设置多因素身份验证
建议更改
PDF
多因素身份验证( MFA )通过安全断言标记语言( Security Assertion Markup Language , SAML )使用第三方身份提供程序( IdP )来管理用户会话。通过 MFA ,管理员可以根据需要配置其他身份验证因素,例如密码和文本消息以及密码和电子邮件消息。
您可以通过 Element API 使用这些基本步骤来设置集群以使用多因素身份验证。
每个 API 方法的详细信息可以在以下位置找到: "Element API 参考"。
-
通过调用以下 API 方法并以 JSON 格式传递 IdP 元数据,为集群创建新的第三方身份提供程序( IdP )配置:
CreateIdpConfiguration从第三方 IdP 检索纯文本格式的 IdP 元数据。需要验证此元数据,以确保其在 JSON 中格式正确。您可以使用多种 JSON 格式化程序应用程序,例如: https://freeformatter.com/json-escape.html 。
-
通过 spMetadataUrl 检索集群元数据,通过调用以下 API 方法复制到第三方 IdP :
ListIdpConfigurationsspMetadataUrl 是一个 URL ,用于从集群中为 IdP 检索服务提供商元数据,以便建立信任关系。
-
在第三方 IdP 上配置 SAML 断言,使其包含 "`NameID` " 属性,以便为审核日志记录和单点注销正确识别用户。
-
通过调用以下 API 方法创建一个或多个经过第三方 IdP 身份验证的集群管理员用户帐户以进行授权:
AddIdpClusterAdmin
IdP 集群管理员的用户名应与 SAML 属性名称 / 值映射匹配以获得所需效果,如以下示例所示: -
email=bob@company.com —其中 IdP 配置为释放 SAML 属性中的电子邮件地址。
-
group=cluster-administrator —其中 IdP 配置为释放所有用户都应具有访问权限的组属性。请注意,出于安全考虑, SAML 属性名称 / 值配对区分大小写。
-
-
通过调用以下 API 方法为集群启用 MFA :
EnableIdpAuthentication