Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 PingFederate 中创建服务提供商 (SP) 连接

您使用 PingFederate 为系统中的每个管理节点创建服务提供商 (SP) 连接。为了加快这一过程,您将从StorageGRID导入 SAML 元数据。

开始之前
  • 您已为StorageGRID配置单点登录,并选择 Ping Federate 作为 SSO 类型。

  • 在网格管理器的单点登录页面上选择了*沙盒模式*。看"使用沙盒模式"

  • 您系统中每个管理节点都有* SP连接 ID *。您可以在StorageGRID单点登录页面上的管理节点详细信息表中找到这些值。

  • 您已下载系统中每个管理节点的 SAML 元数据

  • 您有在 PingFederate 服务器中创建SP连接的经验。

  • 你有https://docs.pingidentity.com/pingfederate/latest/administrators_reference_guide/pf_administrators_reference_guide.html["管理员参考指南"^]用于 PingFederate 服务器。PingFederate 文档提供了详细的分步说明和解释。

  • 你有"管理员权限"用于 PingFederate 服务器。

关于此任务

这些说明总结了如何将 PingFederate Server 版本 10.3 配置为StorageGRID的 SSO 提供程序。如果您使用的是其他版本的 PingFederate,则可能需要调整这些说明。有关您的版本的详细说明,请参阅 PingFederate 服务器文档。

完成 PingFederate 中的先决条件

在创建将用于StorageGRID 的SP连接之前,您必须完成 PingFederate 中的先决条件任务。配置SP连接时,您将使用这些先决条件中的信息。

创建数据存储

如果您还没有,请创建一个数据存储以将 PingFederate 连接到 AD FS LDAP 服务器。使用您使用过的值"配置身份联合"在StorageGRID中。

  • 类型:目录(LDAP)

  • LDAP 类型:Active Directory

  • 二进制属性名称:在 LDAP 二进制属性选项卡上输入 objectGUID,与所示完全一致。

创建密码凭证验证器

如果您还没有,请创建一个密码凭证验证器。

  • 类型:LDAP 用户名密码凭证验证器

  • 数据存储:选择您创建的数据存储。

  • 搜索基础:输入来自 LDAP 的信息(例如,DC=saml,DC=sgws)。

  • 搜索过滤器:sAMAccountName=${username}

  • 范围:子树

创建 IdP 适配器实例

如果您还没有,请创建一个 IdP 适配器实例。

步骤
  1. 转到*身份验证* > 集成 > IdP 适配器

  2. 选择“创建新实例”。

  3. 在类型选项卡上,选择*HTML 表单 IdP 适配器*。

  4. 在 IdP 适配器选项卡上,选择*向“凭证验证器”添加新行*。

  5. 选择密码凭证验证器你創造的。

  6. 在适配器属性选项卡上,选择 Pseudonymusername 属性。

  7. 选择*保存*。

创建或导入签名证书

如果您还没有,请创建或导入签名证书。

步骤
  1. 转到*安全* > 签名和解密密钥和证书

  2. 创建或导入签名证书。

在 PingFederate 中创建SP连接

在 PingFederate 中创建SP连接时,您会导入从StorageGRID为管理节点下载的 SAML 元数据。元数据文件包含您需要的许多特定值。

提示 您必须为StorageGRID系统中的每个管理节点创建一个SP连接,以便用户可以安全地登录和退出任何节点。使用这些说明来创建第一个SP连接。然后,转到创建其他SP连接创建您需要的任何其他连接。

选择SP连接类型

步骤
  1. 转到*应用程序* > 集成 > * SP连接*。

  2. 选择*创建连接*。

  3. 选择*不要对此连接使用模板*。

  4. 选择 浏览器 SSO 配置文件SAML 2.0 作为协议。

导入SP元数据

步骤
  1. 在导入元数据选项卡上,选择*文件*。

  2. 选择从管理节点的StorageGRID单点登录页面下载的 SAML 元数据文件。

  3. 查看元数据摘要和常规信息选项卡上提供的信息。

    合作伙伴的实体 ID 和连接名称设置为StorageGRID SP连接 ID。 (例如,10.96.105.200-DC1-ADM1-105-200)。基本 URL 是StorageGRID管理节点的 IP。

  4. 选择“下一步”。

配置 IdP 浏览器 SSO

步骤
  1. 从浏览器 SSO 选项卡中,选择 配置浏览器 SSO

  2. 在 SAML 配置文件选项卡上,选择 * SP-initiated SSO*、* SP-initial SLO*、* IdP-initiated SSO* 和 * IdP-initiated SLO* 选项。

  3. 选择“下一步”。

  4. 在“断言生命周期”选项卡上,不做任何更改。

  5. 在“断言创建”选项卡上,选择“配置断言创建”。

    1. 在“身份映射”选项卡上,选择“标准”。

    2. 在属性合同选项卡上,使用 SAML_SUBJECT 作为属性合同和导入的未指定的名称格式。

  6. 对于延长合同,选择“删除”以删除 urn:oid,未使用。

地图适配器实例

步骤
  1. 在身份验证源映射选项卡上,选择*映射新适配器实例*。

  2. 在适配器实例选项卡上,选择适配器实例你創造的。

  3. 在“映射方法”选项卡上,选择“从数据存储中检索附加属性”。

  4. 在“属性源和用户查找”选项卡上,选择“添加属性源”。

  5. 在数据存储选项卡上,提供描述并选择数据存储你补充道。

  6. 在 LDAP 目录搜索选项卡上:

    • 输入*Base DN*,它应该与您在StorageGRID中为 LDAP 服务器输入的值完全匹配。

    • 对于搜索范围,选择*子树*。

    • 对于根对象类,搜索并添加以下任一属性:objectGUIDuserPrincipalName

  7. 在 LDAP 二进制属性编码类型选项卡上,为 objectGUID 属性选择 Base64

  8. 在 LDAP 过滤器选项卡上,输入 sAMAccountName=${username}

  9. 在“属性合同履行”选项卡上,从“源”下拉菜单中选择“LDAP(属性)”,然后从“值”下拉菜单中选择“objectGUID”或“userPrincipalName”。

  10. 审查并保存属性来源。

  11. 在“Failsave Attribute Source”选项卡上,选择“Abort the SSO Transaction”。

  12. 查看摘要并选择*完成*。

  13. 选择*完成*。

配置协议设置

步骤
  1. 在 * SP连接 * > * 浏览器 SSO * > * 协议设置 * 选项卡上,选择 * 配置协议设置 *。

  2. 在断言消费者服务 URL 选项卡上,接受从StorageGRID SAML 元数据导入的默认值(用于绑定和 /api/saml-response(用于端点 URL)。

  3. 在 SLO 服务 URL 选项卡上,接受从StorageGRID SAML 元数据导入的默认值(用于绑定和 `/api/saml-logout`用于端点 URL。

  4. 在允许的 SAML 绑定选项卡上,清除 ARTIFACTSOAP。只需要 POSTREDIRECT

  5. 在“签名策略”选项卡上,选中“要求对身份验证请求进行签名”和“始终签署断言”复选框。

  6. 在加密策略选项卡上,选择*无*。

  7. 查看摘要并选择*完成*以保存协议设置。

  8. 查看摘要并选择*完成*以保存浏览器 SSO 设置。

配置凭据

步骤
  1. 从SP连接选项卡中,选择 凭据

  2. 从“凭据”选项卡中,选择“配置凭据”。

  3. 选择签名证书您创建或导入的。

  4. 选择*下一步*进入*管理签名验证设置*。

    1. 在“信任模型”选项卡上,选择“Unanchored”。

    2. 在“签名验证证书”选项卡上,查看从StorageGRID SAML 元数据导入的签​​名证书信息。

  5. 查看摘要屏幕并选择*保存*以保存SP连接。

创建其他SP连接

您可以复制第一个SP连接来为网格中的每个管理节点创建所需的SP连接。您为每个副本上传新的元数据。

备注 不同管理节点的SP连接使用相同的设置,但合作伙伴的实体 ID、基本 URL、连接 ID、连接名称、签名验证和 SLO 响应 URL 除外。
步骤
  1. 选择“操作”>“复制”为每个附加管理节点创建初始SP连接的副本。

  2. 输入副本的连接 ID 和连接名称,然后选择*保存*。

  3. 选择与管理节点对应的元数据文件:

    1. 选择*操作* > 使用元数据更新

    2. 选择*选择文件*并上传元数据。

    3. 选择“下一步”。

    4. 选择*保存*。

  4. 解决由于未使用属性导致的错误:

    1. 选择新的连接。

    2. 选择*配置浏览器 SSO > 配置断言创建 > 属性契约*。

    3. 删除 urn:oid 的条目。

    4. 选择*保存*。