Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

如果启用了单点登录,则使用 API(PingFederate)

PDF

如果你有"配置并启用单点登录(SSO)"并且您使用 PingFederate 作为 SSO 提供程序,则必须发出一系列 API 请求以获取对网格管理 API 或租户管理 API 有效的身份验证令牌。

如果启用了单点登录,Sign inAPI

如果您使用 PingFederate 作为 SSO 身份提供商,则适用这些说明

开始之前

  • 您知道属于StorageGRID用户组的联合用户的 SSO 用户名和密码。

  • 如果您想访问租户管理 API,您需要知道租户帐户 ID。

关于此任务

要获取身份验证令牌,您可以使用以下示例之一:

  • storagegrid-ssoauth.py`Python 脚本,位于StorageGRID安装文件目录中(./rpms`对于 Red Hat Enterprise Linux, `./debs`适用于 Ubuntu 或 Debian,以及 `./vsphere`对于 VMware)。

  • curl 请求的工作流程示例。

    如果执行速度太慢,curl 工作流程可能会超时。您可能会看到以下错误: A valid SubjectConfirmation was not found on this Response

    备注 示例 curl 工作流程不能保护密码不被其他用户看到。

    如果您遇到 URL 编码问题,您可能会看到以下错误: Unsupported SAML version

步骤

  1. 选择以下方法之一来获取身份验证令牌:

    • 使用 `storagegrid-ssoauth.py`Python 脚本。转到步骤 2。

    • 使用 curl 请求。转到步骤 3。

  2. 如果你想使用 `storagegrid-ssoauth.py`脚本,将脚本传递给Python解释器并运行脚本。

    出现提示时,输入以下参数的值:

    • SSO 方法。您可以输入“pingfederate”的任何变体(PINGFEDERATE、pingfederate 等等)。

    • SSO 用户名

    • 安装StorageGRID的域。此字段不用于 PingFederate。您可以将其留空或输入任何值。

    • StorageGRID的地址

    • 如果您想访问租户管理 API,请输入租户帐户 ID。

      Ping Federate 的 SSO 身份验证脚本

    输出中提供了StorageGRID授权令牌。现在,您可以将令牌用于其他请求,类似于未使用 SSO 时使用 API 的方式。

  3. 如果您想使用 curl 请求,请使用以下步骤。

    1. 声明登录所需的变量。

      export SAMLUSER='my-sso-username'
export SAMLPASSWORD='my-password'
export TENANTACCOUNTID='12345'
export STORAGEGRID_ADDRESS='storagegrid.example.com'
      备注 要访问网格管理 API,请使用 0 作为 TENANTACCOUNTID

    2. 要接收签名的身份验证 URL,请发出 POST 请求 /api/v3/authorize-saml,并从响应中删除额外的 JSON 编码。

      此示例显示了针对 TENANTACCOUNTID 的签名身份验证 URL 的 POST 请求。结果将传递给 python -m json.tool 以删除 JSON 编码。

      curl -X POST "https://$STORAGEGRID_ADDRESS/api/v3/authorize-saml" \
  -H "accept: application/json" -H  "Content-Type: application/json" \
  --data "{\"accountId\": \"$TENANTACCOUNTID\"}" | python -m json.tool

      此示例的响应包含经过 URL 编码的签名 URL,但不包括额外的 JSON 编码层。

      {
    "apiVersion": "3.0",
    "data": "https://my-pf-baseurl/idp/SSO.saml2?...",
    "responseTime": "2018-11-06T16:30:23.355Z",
    "status": "success"
}

    3. 保存 `SAMLRequest`从响应中获取用于后续命令的信息。

      export SAMLREQUEST="https://my-pf-baseurl/idp/SSO.saml2?..."

    4. 导出响应和 cookie,并回显响应:

      RESPONSE=$(curl -c - "$SAMLREQUEST")
      echo "$RESPONSE" | grep 'input type="hidden" name="pf.adapterId" id="pf.adapterId"'

    5. 导出“pf.adapterId”值,并回显响应:

      export ADAPTER='myAdapter'
      echo "$RESPONSE" | grep 'base'

    6. 导出“href”值(删除尾部的斜杠/),并回显响应:

      export BASEURL='https://my-pf-baseurl'
      echo "$RESPONSE" | grep 'form method="POST"'

    7. 导出“动作”值:

      export SSOPING='/idp/.../resumeSAML20/idp/SSO.ping'

    8. 发送 cookie 和凭证:

      curl -b <(echo "$RESPONSE") -X POST "$BASEURL$SSOPING" \
--data "pf.username=$SAMLUSER&pf.pass=$SAMLPASSWORD&pf.ok=clicked&pf.cancel=&pf.adapterId=$ADAPTER" --include

    9. 保存 `SAMLResponse`来自隐藏字段:

      export SAMLResponse='PHNhbWxwOlJlc3BvbnN...1scDpSZXNwb25zZT4='

    10. 使用已保存的 SAMLResponse,创建一个StorageGRID/api/saml-response请求生成StorageGRID身份验证令牌。

      为了 RelayState,使用租户帐户 ID,或者如果要登录网格管理 API,则使用 0。

      curl -X POST "https://$STORAGEGRID_ADDRESS:443/api/saml-response" \
  -H "accept: application/json" \
  --data-urlencode "SAMLResponse=$SAMLResponse" \
  --data-urlencode "RelayState=$TENANTACCOUNTID" \
  | python -m json.tool

      响应包含身份验证令牌。

    {
    "apiVersion": "3.0",
    "data": "56eb07bf-21f6-40b7-af0b-5c6cacfb25e7",
    "responseTime": "2018-11-07T21:32:53.486Z",
    "status": "success"
}

    1. 将响应中的身份验证令牌保存为 MYTOKEN

      export MYTOKEN="56eb07bf-21f6-40b7-af0b-5c6cacfb25e7"

      您现在可以使用 `MYTOKEN`对于其他请求,类似于未使用 SSO 时使用 API 的方式。

如果启用了单点登录,请退出 API

如果已启用单点登录 (SSO),则必须发出一系列 API 请求才能退出网格管理 API 或租户管理 API。如果您使用 PingFederate 作为 SSO 身份提供商,则适用这些说明

关于此任务

如果需要,您可以从组织的单一注销页面注销StorageGRID API。或者,您可以从StorageGRID触发单一注销 (SLO),这需要有效的StorageGRID承载令牌。

步骤

  1. 要生成签名的注销请求,请将 cookie“sso=true”传递给 SLO API:

    curl -k -X DELETE "https://$STORAGEGRID_ADDRESS/api/v3/authorize" \
-H "accept: application/json" \
-H "Authorization: Bearer $MYTOKEN" \
--cookie "sso=true" \
| python -m json.tool

    返回注销 URL:

    {
    "apiVersion": "3.0",
    "data": "https://my-ping-url/idp/SLO.saml2?SAMLRequest=fZDNboMwEIRfhZ...HcQ%3D%3D",
    "responseTime": "2021-10-12T22:20:30.839Z",
    "status": "success"
}

  2. 保存注销 URL。

    export LOGOUT_REQUEST='https://my-ping-url/idp/SLO.saml2?SAMLRequest=fZDNboMwEIRfhZ...HcQ%3D%3D'

  3. 向注销 URL 发送请求以触发 SLO 并重定向回StorageGRID。

    curl --include "$LOGOUT_REQUEST"

    返回 302 响应。重定向位置不适用于仅 API 注销。

    HTTP/1.1 302 Found
Location: https://$STORAGEGRID_ADDRESS:443/api/saml-logout?SAMLResponse=fVLLasMwEPwVo7ss%...%23rsa-sha256
Set-Cookie: PF=QoKs...SgCC; Path=/; Secure; HttpOnly; SameSite=None

  4. 删除StorageGRID承载令牌。

    删除StorageGRID承载令牌的方式与没有 SSO 的方式相同。如果未提供“cookie“sso=true”,则用户将从StorageGRID中注销,而不会影响 SSO 状态。

    curl -X DELETE "https://$STORAGEGRID_ADDRESS/api/v3/authorize" \
-H "accept: application/json" \
-H "Authorization: Bearer $MYTOKEN" \
--include

    一个 `204 No Content`响应表明用户现在已退出。

    HTTP/1.1 204 No Content