Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 AD FS 中创建信赖方信任

PDF

您必须使用 Active Directory 联合身份验证服务 (AD FS) 为系统中的每个管理节点创建信赖方信任。您可以使用 PowerShell 命令、通过从StorageGRID导入 SAML 元数据或手动输入数据来创建信赖方信任。

开始之前

  • 您已为StorageGRID配置单点登录,并选择 AD FS 作为 SSO 类型。

  • 在网格管理器的单点登录页面上选择了*沙盒模式*。看"使用沙盒模式"

  • 您知道系统中每个管理节点的完全限定域名(或 IP 地址)和信赖方标识符。您可以在StorageGRID单点登录页面上的管理节点详细信息表中找到这些值。

    备注 您必须为StorageGRID系统中的每个管理节点创建一个依赖方信任。每个管理节点都拥有依赖方信任,确保用户可以安全地登录和退出任何管理节点。

  • 您具有在 AD FS 中创建信赖方信任的经验,或者您可以访问 Microsoft AD FS 文档。

  • 您正在使用 AD FS 管理管理单元,并且您属于管理员组。

  • 如果您手动创建依赖方信任,则您拥有为StorageGRID管理界面上传的自定义证书,或者您知道如何从命令 shell 登录到管理节点。

关于此任务

这些说明适用于 Windows Server 2016 AD FS。如果您使用的是不同版本的 AD FS,您会注意到过程中略有不同。如果您有任何疑问,请参阅 Microsoft AD FS 文档。

使用 Windows PowerShell 创建信赖方信任

您可以使用 Windows PowerShell 快速创建一个或多个信赖方信任。

步骤

  1. 从 Windows 开始菜单中,右键单击选择 PowerShell 图标,然后选择*以管理员身份运行*。

  2. 在 PowerShell 命令提示符下,输入以下命令:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • 为了 Admin_Node_Identifier,输入管理节点的依赖方标识符,与单点登录页面上显示的完全一致。例如, SG-DC1-ADM1

    • 为了 Admin_Node_FQDN,输入同一管理节点的完全限定域名。 (如有必要,您可以使用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果该 IP 地址发生变化,则必须更新或重新创建此信赖方信任。)

  3. 从 Windows 服务器管理器中,选择“工具”>“AD FS 管理”。

    出现 AD FS 管理工具。

  4. 选择 AD FS > 依赖方信任

    出现依赖方信任的列表。

  5. 向新创建的依赖方信任添加访问控制策略:

    1. 找到您刚刚创建的信赖方信任。

    2. 右键单击信任,然后选择“编辑访问控制策略”。

    3. 选择访问控制策略。

    4. 选择“应用”,然后选择“确定”

  6. 向新创建的依赖方信任添加声明发布策略:

    1. 找到您刚刚创建的信赖方信任。

    2. 右键单击信托,然后选择“编辑索赔颁发政策”。

    3. 选择*添加规则*。

    4. 在选择规则模板页面上,从列表中选择*将 LDAP 属性发送为声明*,然后选择*下一步*。

    5. 在配置规则页面上,输入此规则的显示名称。

      例如,ObjectGUID 到名称 IDUPN 到名称 ID

    6. 对于属性存储,选择*Active Directory*。

    7. 在映射表的 LDAP 属性列中,键入 objectGUID 或选择 User-Principal-Name

    8. 在映射表的传出声明类型列中,从下拉列表中选择*名称 ID*。

    9. 选择“完成”,然后选择“确定”。

  7. 确认元数据已成功导入。

    1. 右键单击信赖方信任以打开其属性。

    2. 确认“Endpoints”、“Identifiers”和“Signature”选项卡上的字段已填充。

      如果缺少元数据,请确认联邦元数据地址是否正确,或者手动输入值。

  8. 重复这些步骤,为StorageGRID系统中的所有管理节点配置依赖方信任。

  9. 完成后,返回StorageGRID并测试所有依赖方信任以确认它们配置正确。看"使用沙盒模式"以获取说明。

通过导入联合元数据创建信赖方信任

您可以通过访问每个管理节点的 SAML 元数据来导入每个依赖方信任的值。

步骤

  1. 在 Windows 服务器管理器中,选择“工具”,然后选择“AD FS 管理”。

  2. 在操作下,选择*添加依赖方信任*。

  3. 在欢迎页面上,选择*索赔意识*,然后选择*开始*。

  4. 选择*导入在线或本地网络上发布的有关依赖方的数据*。

  5. 联合元数据地址(主机名或 URL) 中,键入此管理节点的 SAML 元数据的位置:

    https://Admin_Node_FQDN/api/saml-metadata

    为了 Admin_Node_FQDN,输入同一管理节点的完全限定域名。 (如有必要,您可以使用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果该 IP 地址发生变化,则必须更新或重新创建此信赖方信任。)

  6. 完成依赖方信任向导,保存依赖方信任,然后关闭向导。

    备注 输入显示名称时,请使用管理节点的依赖方标识符,与网格管理器中的单点登录页面上显示的完全一样。例如, SG-DC1-ADM1

  7. 添加声明规则:

    1. 右键单击信托,然后选择“编辑索赔颁发政策”。

    2. 选择*添加规则*:

    3. 在选择规则模板页面上,从列表中选择*将 LDAP 属性发送为声明*,然后选择*下一步*。

    4. 在配置规则页面上,输入此规则的显示名称。

      例如,ObjectGUID 到名称 IDUPN 到名称 ID

    5. 对于属性存储,选择*Active Directory*。

    6. 在映射表的 LDAP 属性列中,键入 objectGUID 或选择 User-Principal-Name

    7. 在映射表的传出声明类型列中,从下拉列表中选择*名称 ID*。

    8. 选择“完成”,然后选择“确定”。

  8. 确认元数据已成功导入。

    1. 右键单击信赖方信任以打开其属性。

    2. 确认“Endpoints”、“Identifiers”和“Signature”选项卡上的字段已填充。

      如果缺少元数据,请确认联邦元数据地址是否正确,或者手动输入值。

  9. 重复这些步骤,为StorageGRID系统中的所有管理节点配置依赖方信任。

  10. 完成后,返回StorageGRID并测试所有依赖方信任以确认它们配置正确。看"使用沙盒模式"以获取说明。

手动创建信赖方信任

如果您选择不导入依赖部分信托的数据,您可以手动输入值。

步骤

  1. 在 Windows 服务器管理器中,选择“工具”,然后选择“AD FS 管理”。

  2. 在操作下,选择*添加依赖方信任*。

  3. 在欢迎页面上,选择*索赔意识*,然后选择*开始*。

  4. 选择*手动输入依赖方的数据*,然后选择*下一步*。

  5. 完成依赖方信任向导:

    1. 输入此管理节点的显示名称。

      为了保持一致性,请使用管理节点的依赖方标识符,与网格管理器中的单点登录页面上显示的完全一样。例如, SG-DC1-ADM1

    2. 跳过配置可选令牌加密证书的步骤。

    3. 在配置 URL 页面上,选中 启用对 SAML 2.0 WebSSO 协议的支持 复选框。

    4. 输入管理节点的 SAML 服务端点 URL:

      https://Admin_Node_FQDN/api/saml-response

      为了 `Admin_Node_FQDN`中,输入管理节点的完全限定域名。 (如有必要,您可以使用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果 IP 地址发生变化,则必须更新或重新创建此信赖方信任。)

    5. 在配置标识符页面上,为同一个管理节点指定依赖方标识符:

      Admin_Node_Identifier

      为了 Admin_Node_Identifier,输入管理节点的依赖方标识符,与单点登录页面上显示的完全一致。例如, SG-DC1-ADM1

    6. 检查设置,保存信赖方信任,然后关闭向导。

      出现“编辑索赔签发政策”对话框。

    备注 如果未出现对话框,请右键单击信任,然后选择“编辑声明颁发政策”。

  6. 要启动声明规则向导,请选择*添加规则*:

    1. 在选择规则模板页面上,从列表中选择*将 LDAP 属性发送为声明*,然后选择*下一步*。

    2. 在配置规则页面上,输入此规则的显示名称。

      例如,ObjectGUID 到名称 IDUPN 到名称 ID

    3. 对于属性存储,选择*Active Directory*。

    4. 在映射表的 LDAP 属性列中,键入 objectGUID 或选择 User-Principal-Name

    5. 在映射表的传出声明类型列中,从下拉列表中选择*名称 ID*。

    6. 选择“完成”,然后选择“确定”。

  7. 右键单击信赖方信任以打开其属性。

  8. 在“端点”选项卡上,配置单点注销 (SLO) 的端点:

    1. 选择“添加 SAML”。

    2. 选择*端点类型* > SAML 注销

    3. 选择*绑定* > 重定向

    4. 在“可信 URL”字段中,输入用于从此管理节点单点注销 (SLO) 的 URL:

      https://Admin_Node_FQDN/api/saml-logout

    为了 `Admin_Node_FQDN`中,输入管理节点的完全限定域名。 (如有必要,您可以使用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果该 IP 地址发生变化,则必须更新或重新创建此信赖方信任。)

    1. 选择“确定”。

  9. 在“签名”选项卡上,指定此信赖方信任的签名证书:

    1. 添加自定义证书:

      • 如果您有上传到StorageGRID 的自定义管理证书,请选择该证书。

      • 如果您没有自定义证书,请登录管理节点,转到 `/var/local/mgmt-api`管理节点的目录,并添加 `custom-server.crt`证书文件。

        备注 使用管理节点的默认证书(server.crt) 是不推荐的。如果管理节点发生故障,则恢复节点时将重新生成默认证书,并且您需要更新信赖方信任。

    2. 选择“应用”,然后选择“确定”。

      依赖方属性已保存并关闭。

  10. 重复这些步骤,为StorageGRID系统中的所有管理节点配置依赖方信任。

  11. 完成后,返回StorageGRID并测试所有依赖方信任以确认它们配置正确。看"使用沙盒模式"以获取说明。