Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在AD FS中创建依赖方信任

贡献者
PDF

您必须使用 Active Directory 联合身份验证服务( AD FS )为系统中的每个管理节点创建依赖方信任。您可以使用 PowerShell 命令,从 StorageGRID 导入 SAML 元数据或手动输入数据来创建依赖方信任。

使用Windows PowerShell创建依赖方信任

您可以使用 Windows PowerShell 快速创建一个或多个依赖方信任。

您需要的内容

  • 您已在StorageGRID 中配置SSO、并且知道系统中每个管理节点的完全限定域名(或IP地址)和依赖方标识符。

    备注 您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。

  • 您有在 AD FS 中创建依赖方信任的经验,也可以访问 Microsoft AD FS 文档。

  • 您正在使用 AD FS 管理单元,并且属于管理员组。

关于此任务

这些说明适用于Windows Server 2016附带的AD FS 4.0。如果您使用的是Windows 2012 R2附带的AD FS 3.0、则会注意到操作步骤 略有不同。如果您有任何疑问,请参见 Microsoft AD FS 文档。

步骤

  1. 从Windows开始菜单中、右键单击PowerShell图标、然后选择*以管理员身份运行*。

  2. 在 PowerShell 命令提示符处,输入以下命令:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • 适用于 Admin_Node_Identifier`下、输入管理节点的依赖方标识符、与单点登录页面上显示的完全相同。例如: `SG-DC1-ADM1

    • 适用于 `Admin_Node_FQDN`下、输入同一管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

  3. 在 Windows Server Manager 中,选择 * 工具 * > * AD FS 管理 * 。

    此时将显示 AD FS 管理工具。

  4. 选择 * AD FS* > * 依赖方信任 * 。

    此时将显示依赖方信任列表。

  5. 向新创建的依赖方信任添加访问控制策略:

    1. 找到您刚刚创建的依赖方信任。

    2. 右键单击信任,然后选择 * 编辑访问控制策略 * 。

    3. 选择访问控制策略。

    4. 单击*应用*、然后单击*确定*

  6. 将款项申请发放策略添加到新创建的相关方信任:

    1. 找到您刚刚创建的依赖方信任。

    2. 右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。

    3. 单击*添加规则*。

    4. 在选择规则模板页面上、从列表中选择*将LDAP属性作为声明发送*、然后单击*下一步*。

    5. 在配置规则页面上,输入此规则的显示名称。

      例如,将 * 对象 GUID 更改为名称 ID* 。

    6. 对于属性存储,选择 * Active Directory* 。

    7. 在映射表的 LDAP 属性列中,键入 * 对象 GUID* 。

    8. 在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。

    9. 单击*完成*、然后单击*确定*。

  7. 确认元数据已成功导入。

    1. 右键单击依赖方信任以打开其属性。

    2. 确认已填充 * 端点 * , * 标识符 * 和 * 签名 * 选项卡上的字段。

      如果缺少元数据,请确认联合元数据地址是否正确,或者只需手动输入值即可。

  8. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。

  9. 完成后、返回到StorageGRID 和 "测试所有依赖方信任" 以确认配置正确。

通过导入联合元数据创建依赖方信任

您可以通过访问每个管理节点的 SAML 元数据来导入每个依赖方信任的值。

您需要的内容

  • 您已在StorageGRID 中配置SSO、并且知道系统中每个管理节点的完全限定域名(或IP地址)和依赖方标识符。

    备注 您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。

  • 您有在 AD FS 中创建依赖方信任的经验,也可以访问 Microsoft AD FS 文档。

  • 您正在使用 AD FS 管理单元,并且属于管理员组。

关于此任务

这些说明适用于Windows Server 2016附带的AD FS 4.0。如果您使用的是Windows 2012 R2附带的AD FS 3.0、则会注意到操作步骤 略有不同。如果您有任何疑问,请参见 Microsoft AD FS 文档。

步骤

  1. 在Windows Server Manager中、单击*工具*、然后选择* AD FS管理*。

  2. 在操作下、单击*添加依赖方信任*。

  3. 在Welcome页面上、选择*声明感知*、然后单击*开始*。

  4. 选择 * 导入有关依赖方的在线或本地网络上发布的数据 * 。

  5. 在 * 联合元数据地址(主机名或 URL ) * 中,键入此管理节点的 SAML 元数据的位置:

    https://Admin_Node_FQDN/api/saml-metadata

    适用于 `Admin_Node_FQDN`下、输入同一管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

  6. 完成依赖方信任向导,保存依赖方信任并关闭该向导。

    备注 输入显示名称时,请使用管理节点的相关方标识符,与网格管理器的 Single Sign-On 页面上显示的完全相同。例如: SG-DC1-ADM1

  7. 添加声明规则:

    1. 右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。

    2. 单击*添加规则*:

    3. 在选择规则模板页面上、从列表中选择*将LDAP属性作为声明发送*、然后单击*下一步*。

    4. 在配置规则页面上,输入此规则的显示名称。

      例如,将 * 对象 GUID 更改为名称 ID* 。

    5. 对于属性存储,选择 * Active Directory* 。

    6. 在映射表的 LDAP 属性列中,键入 * 对象 GUID* 。

    7. 在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。

    8. 单击*完成*、然后单击*确定*。

  8. 确认元数据已成功导入。

    1. 右键单击依赖方信任以打开其属性。

    2. 确认已填充 * 端点 * , * 标识符 * 和 * 签名 * 选项卡上的字段。

      如果缺少元数据,请确认联合元数据地址是否正确,或者只需手动输入值即可。

  9. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。

  10. 完成后、返回到StorageGRID 和 "测试所有依赖方信任" 以确认配置正确。

手动创建依赖方信任

如果您选择不导入依赖部件信任的数据,则可以手动输入值。

您需要的内容

  • 您已在StorageGRID 中配置SSO、并且知道系统中每个管理节点的完全限定域名(或IP地址)和依赖方标识符。

    备注 您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。

  • 您已获得为StorageGRID 管理界面上传的自定义证书、或者知道如何从命令Shell登录到管理节点。

  • 您有在 AD FS 中创建依赖方信任的经验,也可以访问 Microsoft AD FS 文档。

  • 您正在使用 AD FS 管理单元,并且属于管理员组。

关于此任务

这些说明适用于Windows Server 2016附带的AD FS 4.0。如果您使用的是Windows 2012 R2附带的AD FS 3.0、则会注意到操作步骤 略有不同。如果您有任何疑问,请参见 Microsoft AD FS 文档。

步骤

  1. 在Windows Server Manager中、单击*工具*、然后选择* AD FS管理*。

  2. 在操作下、单击*添加依赖方信任*。

  3. 在Welcome页面上、选择*声明感知*、然后单击*开始*。

  4. 选择*手动输入有关依赖方的数据*、然后单击*下一步*。

  5. 完成依赖方信任向导:

    1. 输入此管理节点的显示名称。

      为了确保一致性,请使用管理节点的依赖方标识符,与网格管理器的单点登录页面上显示的一致。例如: SG-DC1-ADM1

    2. 跳过此步骤可配置可选令牌加密证书。

    3. 在配置 URL 页面上,选中 * 启用对 SAML 2.0 WebSSO 协议的支持 * 复选框。

    4. 键入管理节点的 SAML 服务端点 URL :

      https://Admin_Node_FQDN/api/saml-response

      适用于 `Admin_Node_FQDN`下、输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

    5. 在配置标识符页面上,指定同一管理节点的依赖方标识符:

      Admin_Node_Identifier

      适用于 Admin_Node_Identifier`下、输入管理节点的依赖方标识符、与单点登录页面上显示的完全相同。例如: `SG-DC1-ADM1

    6. 查看设置,保存依赖方信任并关闭向导。

      此时将显示编辑款项申请发放策略对话框。

    备注 如果未显示此对话框,请右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。

  6. 要启动声明规则向导、请单击*添加规则*:

    1. 在选择规则模板页面上、从列表中选择*将LDAP属性作为声明发送*、然后单击*下一步*。

    2. 在配置规则页面上,输入此规则的显示名称。

      例如,将 * 对象 GUID 更改为名称 ID* 。

    3. 对于属性存储,选择 * Active Directory* 。

    4. 在映射表的 LDAP 属性列中,键入 * 对象 GUID* 。

    5. 在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。

    6. 单击*完成*、然后单击*确定*。

  7. 右键单击依赖方信任以打开其属性。

  8. 在 * 端点 * 选项卡上,为单点注销( SLO )配置端点:

    1. 单击*添加SAML *。

    2. 选择 * 端点类型 * > * SAML 注销 * 。

    3. 选择 * 绑定 * > * 重定向 * 。

    4. 在 * 可信 URL* 字段中,输入用于从此管理节点单点注销( SLO )的 URL :

      https://Admin_Node_FQDN/api/saml-logout

    适用于 `Admin_Node_FQDN`下、输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

    1. 单击 * 确定 * 。

  9. 在 * 签名 * 选项卡上,指定此依赖方信任的签名证书:

    1. 添加自定义证书:

      • 如果您已将自定义管理证书上传到 StorageGRID ,请选择此证书。

      • 如果您没有自定义证书、请登录到管理节点、然后转到 /var/local/mgmt-api 管理节点的目录、然后添加 custom-server.crt 证书文件。

        *注:*使用管理节点的默认证书 (server.crt)。如果管理节点出现故障,则在恢复节点时将重新生成默认证书,您需要更新依赖方信任。

    2. 单击*应用*、然后单击*确定*。

      依赖方属性将被保存并关闭。

  10. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。

  11. 完成后、返回到StorageGRID 和 "测试所有依赖方信任" 以确认配置正确。