简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 PingFederate 中创建服务提供商( SP )连接

您可以使用 PingFederate 为系统中的每个管理节点创建服务提供商( SP )连接。要加快此过程,您需要从 StorageGRID 导入 SAML 元数据。

您需要什么? #8217 ;将需要什么
  • 您已为 StorageGRID 配置单点登录,并选择了 * Ping 联邦 * 作为 SSO 类型。

  • 在网格管理器的单点登录页面上选择了 * 沙盒模式 * 。请参见 使用沙盒模式

  • 您拥有系统中每个管理节点的 * SP 连接 ID* 。您可以在 StorageGRID 单点登录页面上的管理节点详细信息表中找到这些值。

  • 您已为系统中的每个管理节点下载 * SAML 元数据 * 。

  • 您在 PingFederate 服务器中创建 SP 连接的经验。

  • 您拥有https://docs.pingidentity.com/bundle/pingfederate-103/page/kfj1564002962494.html["《管理员参考指南》"^] PingFederate 服务器。PingFederate 文档提供了详细的分步说明和说明。

  • 您具有 PingFederate 服务器的管理员权限。

以下说明总结了如何将 PingFederate 服务器 10.3 版配置为 StorageGRID 的 SSO 提供程序。如果您使用的是其他版本的 PingFederate ,则可能需要调整这些说明。有关您的版本的详细说明,请参见 PingFederate 服务器文档。

完成 PingFederate 中的前提条件

在创建要用于 StorageGRID 的 SP 连接之前,必须先在 PingFederate 中完成前提条件任务。配置 SP 连接时,您将使用这些前提条件中的信息。

创建数据存储

如果尚未创建数据存储库,请将 PingFederate 连接到 AD FS LDAP 服务器。使用您在使用时使用的值 配置身份联合 在 StorageGRID 中。

  • * 类型 * :目录( LDAP )

  • * LDAP 类型 * : Active Directory

  • * 二进制属性名称 * :在 "LDAP 二进制属性 " 选项卡上输入 * 对象 GUID* ,具体如图所示。

创建密码凭据验证程序

如果尚未创建密码凭据验证程序,请创建一个。

  • * 类型 * : LDAP 用户名密码凭据验证器

  • * 数据存储 * :选择您创建的数据存储。

  • * 搜索基础 * :输入 LDAP 中的信息(例如, DC=SAML , DC=sgws )。

  • * 搜索筛选器 * : sAMAccountName=$ { username }

  • * 范围 * :子树

创建 IdP 适配器实例

如果尚未创建 IdP 适配器实例,请创建此实例。

  1. 转至 * 身份验证 * > * 集成 * > * IdP 适配器 * 。

  2. 选择 * 创建新实例 * 。

  3. 在类型选项卡上,选择 * HTML 表单 IdP 适配器 * 。

  4. 在 IdP 适配器选项卡上,选择 * 向 " 凭据验证器 "* 添加新行。

  5. 选择 密码凭据验证程序 您已创建。

  6. 在适配器属性选项卡上,为 * 伪名称 * 选择 * 用户名 * 属性。

  7. 选择 * 保存 * 。

创建或导入签名证书

如果尚未创建,请创建或导入签名证书。

  1. 转至 * 安全性 * > * 签名和解密密钥和证书 * 。

  2. 创建或导入签名证书。

在 PingFederate 中创建 SP 连接

在 PingFederate 中创建 SP 连接时,您可以导入从 StorageGRID 为管理节点下载的 SAML 元数据。元数据文件包含您需要的许多特定值。

重要 您必须为 StorageGRID 系统中的每个管理节点创建一个 SP 连接,以便用户可以安全地登录和注销任何节点。按照以下说明创建第一个 SP 连接。然后,转到 [Create additional SP connections] 创建所需的任何其他连接。

选择 SP 连接类型

  1. 转至 * 应用程序 * > * 集成 * > * SP 连接 * 。

  2. 选择 * 创建连接 * 。

  3. 选择 * 不对此连接使用模板 * 。

  4. 选择 * 浏览器 SSO 配置文件 * 和 * SAML 2.0* 作为协议。

导入 SP 元数据

  1. 在导入元数据选项卡上,选择 * 文件 * 。

  2. 选择从管理节点的 StorageGRID 单点登录页面下载的 SAML 元数据文件。

  3. 查看元数据摘要以及常规信息选项卡上的信息。

    合作伙伴的实体 ID 和连接名称设置为 StorageGRID SP 连接 ID 。(例如 10.96.105.200-DC1-ADM1-105-200 )。基本 URL 是 StorageGRID 管理节点的 IP 。

  4. 选择 * 下一步 * 。

配置 IdP 浏览器 SSO

  1. 从浏览器 SSO 选项卡中,选择 * 配置浏览器 SSO* 。

  2. 在 SAML 配置文件选项卡上,选择 * SP 启动的 SSO* , * SP 初始 SLO* , * IdP-Initiated SSO* 和 * IdP-Initiated SLO* 选项。

  3. 选择 * 下一步 * 。

  4. 在 Assertion Lifetime 选项卡上,不进行任何更改。

  5. 在断言创建选项卡上,选择 * 配置断言创建 * 。

    1. 在身份映射选项卡上,选择 * 标准 * 。

    2. 在属性合同选项卡上,使用 * SAML 主题 * 作为属性合同以及导入的未指定名称格式。

  6. 对于扩展合同,请选择 * 删除 * 以删除未使用的 urn : OID

映射适配器实例

  1. 在身份验证源映射选项卡上,选择 * 映射新适配器实例 * 。

  2. 在适配器实例选项卡上,选择 适配器实例 您已创建。

  3. 在映射方法选项卡上,选择 * 从数据存储中检索其他属性 * 。

  4. 在属性源和用户查找选项卡上,选择 * 添加属性源 * 。

  5. 在数据存储选项卡上,提供问题描述 并选择 数据存储 您已添加。

  6. 在 LDAP 目录搜索选项卡上:

    • 输入 * 基本 DN* ,该 DN 应与您在 StorageGRID 中为 LDAP 服务器输入的值完全匹配。

    • 对于搜索范围,请选择 * 子树 * 。

    • 对于根对象类,搜索 * 对象 GUID* 属性并添加它。

  7. 在 LDAP 二进制属性编码类型选项卡上,为 * 对象 GUID* 属性选择 * Base64* 。

  8. 在 LDAP 筛选器选项卡上,输入 * 。 sAMAccountName=$ { username } * 。

  9. 在属性合同履行选项卡上,从源下拉列表中选择 * LDAP ( attribute ) * ,然后从值下拉列表中选择 * 对象 GUID* 。

  10. 查看并保存属性源。

  11. 在故障保存属性源选项卡上,选择 * 中止 SSO 事务 * 。

  12. 查看摘要并选择 * 完成 * 。

  13. 选择 * 完成 * 。

配置协议设置

  1. 在 * SP Connection* > * 浏览器 SSO* > * 协议设置 * 选项卡上,选择 * 配置协议设置 * 。

  2. 在 Assertion Conset Service URL 选项卡上,接受从 StorageGRID SAML 元数据导入的默认值(对于绑定,为 * 后 * ;对于端点 URL ,为 ` /API/SAML 响应` )。

  3. 在 SLO 服务 URL 选项卡上,接受从 StorageGRID SAML 元数据导入的默认值( * 重定向 * 表示绑定, ` /API/SAML 注销` 表示端点 URL 。

  4. 在允许的 SAML 绑定选项卡上,取消选择 * 项目 * 和 * SOAP * 。仅需要 * 发布 * 和 * 重定向 * 。

  5. 在签名策略选项卡上,保持选中 * 需要对 Authn 请求签名 * 和 * 始终对断言签名 * 复选框。

  6. 在加密策略选项卡上,选择 * 无 * 。

  7. 查看摘要并选择 * 完成 * 以保存协议设置。

  8. 查看摘要并选择 * 完成 * 以保存浏览器 SSO 设置。

配置凭据

  1. 从 SP 连接选项卡中,选择 * 凭据 * 。

  2. 从凭据选项卡中,选择 * 配置凭据 * 。

  3. 选择 正在签名证书 您已创建或导入。

  4. 选择 * 下一步 * 转到 * 管理签名验证设置 * 。

    1. 在信任模式选项卡上,选择 * 已取消锁定 * 。

    2. 在签名验证证书选项卡上,查看从 StorageGRID SAML 元数据导入的签名证书信息。

  5. 查看摘要屏幕并选择 * 保存 * 以保存 SP 连接。

创建其他 SP 连接

您可以复制第一个 SP 连接,以便为网格中的每个管理节点创建所需的 SP 连接。您可以为每个副本上传新元数据。

注 不同管理节点的 SP 连接使用相同的设置,但合作伙伴的实体 ID ,基本 URL ,连接 ID ,连接名称,签名验证除外。 和 SLO 响应 URL 。
  1. 选择 * 操作 * > * 复制 * 为每个附加管理节点创建初始 SP 连接的副本。

  2. 输入副本的连接 ID 和连接名称,然后选择 * 保存 * 。

  3. 选择与管理节点对应的元数据文件:

    1. 选择 * 操作 * > * 使用元数据更新 * 。

    2. 选择 * 选择文件 * 并上传元数据。

    3. 选择 * 下一步 * 。

    4. 选择 * 保存 * 。

  4. 解决由于属性未使用而导致的错误:

    1. 选择新连接。

    2. 选择 * 配置浏览器 SSO > 配置断言创建 > 属性合同 * 。

    3. 删除 * urn : oid* 的条目。

    4. 选择 * 保存 * 。