单点登录的要求和注意事项
建议更改
PDF
在为StorageGRID系统启用单点登录 (SSO) 之前,请查看要求和注意事项。
身份提供者要求
StorageGRID支持以下 SSO 身份提供商 (IdP):
-
Active Directory 联合身份验证服务 (AD FS)
-
Azure Active Directory (Azure AD)
-
Ping联邦
您必须先为StorageGRID系统配置身份联合,然后才能配置 SSO 身份提供商。用于身份联合的 LDAP 服务类型控制您可以实现哪种类型的 SSO。
| 配置的 LDAP 服务类型 | SSO 身份提供者的选项 |
|---|---|
Active Directory |
|
Azure |
Azure |
AD FS 要求
您可以使用以下任意版本的 AD FS:
-
Windows Server 2022 AD FS
-
Windows Server 2019 AD FS
-
Windows Server 2016 AD FS
|
Windows Server 2016 应该使用 "KB3201845 更新"或更高。 |
其他要求
-
传输层安全性 (TLS) 1.2 或 1.3
-
Microsoft .NET Framework,版本 3.5.1 或更高版本
Azure 的注意事项
如果您使用 Azure 作为 SSO 类型,并且用户的用户主体名称不使用 sAMAccountName 作为前缀,则当StorageGRID与 LDAP 服务器失去连接时,可能会出现登录问题。要允许用户登录,您必须恢复与 LDAP 服务器的连接。
服务器证书要求
默认情况下, StorageGRID在每个管理节点上使用管理接口证书来保护对网格管理器、租户管理器、网格管理 API 和租户管理 API 的访问。为StorageGRID配置信赖方信任 (AD FS)、企业应用程序 (Azure) 或服务提供商连接 (PingFederate) 时,您可以使用服务器证书作为StorageGRID请求的签名证书。
如果你还没有"为管理接口配置自定义证书",你现在就应该这么做。当您安装自定义服务器证书时,它将用于所有管理节点,并且您可以在所有StorageGRID依赖方信任、企业应用程序或SP连接中使用它。
|
|
不建议在依赖方信任、企业应用程序或SP连接中使用管理节点的默认服务器证书。如果节点发生故障并且您恢复了它,则会生成一个新的默认服务器证书。在登录到恢复的节点之前,您必须使用新证书更新信赖方信任、企业应用程序或SP连接。 |
您可以通过登录节点的命令 shell 并转到 /var/local/mgmt-api`目录。自定义服务器证书名为 `custom-server.crt。该节点的默认服务器证书名为 server.crt。
端口要求
受限的网格管理器或租户管理器端口上不提供单点登录 (SSO)。如果您希望用户通过单点登录进行身份验证,则必须使用默认 HTTPS 端口 (443)。看"控制外部防火墙的访问" 。