在 AD FS 中创建依赖方信任
您必须使用 Active Directory 联合身份验证服务( AD FS )为系统中的每个管理节点创建依赖方信任。您可以使用 PowerShell 命令,从 StorageGRID 导入 SAML 元数据或手动输入数据来创建依赖方信任。
-
您已为 StorageGRID 配置单点登录,并选择了 * AD FS* 作为 SSO 类型。
-
在网格管理器的单点登录页面上选择了 * 沙盒模式 * 。请参阅。 "使用沙盒模式"
-
您知道系统中每个管理节点的完全限定域名(或 IP 地址)和依赖方标识符。您可以在 StorageGRID 单点登录页面上的管理节点详细信息表中找到这些值。
您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。 -
您有在 AD FS 中创建依赖方信任的经验,也可以访问 Microsoft AD FS 文档。
-
您正在使用 AD FS 管理单元,并且属于管理员组。
-
如果您要手动创建依赖方信任,则可以获得为 StorageGRID 管理界面上传的自定义证书,或者知道如何从命令 Shell 登录到管理节点。
以下说明适用于 Windows Server 2016 AD FS 。如果您使用的是其他版本的 AD FS ,则会注意到操作步骤 略有不同。如果您有任何疑问,请参见 Microsoft AD FS 文档。
使用 Windows PowerShell 创建依赖方信任
您可以使用 Windows PowerShell 快速创建一个或多个依赖方信任。
-
从 Windows 开始菜单中,右键选择 PowerShell 图标,然后选择 * 以管理员身份运行 * 。
-
在 PowerShell 命令提示符处,输入以下命令:
Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
-
对于
Admin_Node_Identifier
,输入管理节点的“依赖方标识符”,与它在“单一登录”页面上显示的完全相同。例如,SG-DC1-ADM1
。 -
对于
Admin_Node_FQDN
,输入同一管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)
-
-
在 Windows Server Manager 中,选择 * 工具 * > * AD FS 管理 * 。
此时将显示 AD FS 管理工具。
-
选择 * AD FS* > * 依赖方信任 * 。
此时将显示依赖方信任列表。
-
向新创建的依赖方信任添加访问控制策略:
-
找到您刚刚创建的依赖方信任。
-
右键单击信任,然后选择 * 编辑访问控制策略 * 。
-
选择访问控制策略。
-
选择 * 应用 * ,然后选择 * 确定 *
-
-
将款项申请发放策略添加到新创建的相关方信任:
-
找到您刚刚创建的依赖方信任。
-
右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。
-
选择 * 添加规则 * 。
-
在选择规则模板页面上,从列表中选择 * 将 LDAP 属性作为声明发送 * ,然后选择 * 下一步 * 。
-
在配置规则页面上,输入此规则的显示名称。
例如,ObjectGUID到名称ID*或*UPN到名称ID。
-
对于属性存储,选择 * Active Directory* 。
-
在映射表的LDAP属性列中,键入*objectGUID*或选择*User-Principal-Name*。
-
在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。
-
选择 * 完成 * ,然后选择 * 确定 * 。
-
-
确认元数据已成功导入。
-
右键单击依赖方信任以打开其属性。
-
确认已填充 * 端点 * , * 标识符 * 和 * 签名 * 选项卡上的字段。
如果缺少元数据、请确认联盟元数据地址是否正确、或者手动输入值。
-
-
重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。
-
完成后,返回到 StorageGRID 并测试所有相关方信任,以确认其配置正确。有关说明、请参见。 "使用沙盒模式"
通过导入联合元数据创建依赖方信任
您可以通过访问每个管理节点的 SAML 元数据来导入每个依赖方信任的值。
-
在 Windows Server Manager 中,选择 * 工具 * ,然后选择 * AD FS 管理 * 。
-
在操作下,选择 * 添加依赖方信任 * 。
-
在 Welcome 页面上,选择 * 声明感知 * ,然后选择 * 开始 * 。
-
选择 * 导入有关依赖方的在线或本地网络上发布的数据 * 。
-
在 * 联合元数据地址(主机名或 URL ) * 中,键入此管理节点的 SAML 元数据的位置:
https://Admin_Node_FQDN/api/saml-metadata
对于
Admin_Node_FQDN
,输入同一管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。) -
完成依赖方信任向导,保存依赖方信任并关闭该向导。
输入显示名称时,请使用管理节点的相关方标识符,与网格管理器的 Single Sign-On 页面上显示的完全相同。例如, SG-DC1-ADM1
。 -
添加声明规则:
-
右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。
-
选择 * 添加规则 * :
-
在选择规则模板页面上,从列表中选择 * 将 LDAP 属性作为声明发送 * ,然后选择 * 下一步 * 。
-
在配置规则页面上,输入此规则的显示名称。
例如,ObjectGUID到名称ID*或*UPN到名称ID。
-
对于属性存储,选择 * Active Directory* 。
-
在映射表的LDAP属性列中,键入*objectGUID*或选择*User-Principal-Name*。
-
在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。
-
选择 * 完成 * ,然后选择 * 确定 * 。
-
-
确认元数据已成功导入。
-
右键单击依赖方信任以打开其属性。
-
确认已填充 * 端点 * , * 标识符 * 和 * 签名 * 选项卡上的字段。
如果缺少元数据、请确认联盟元数据地址是否正确、或者手动输入值。
-
-
重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。
-
完成后,返回到 StorageGRID 并测试所有相关方信任,以确认其配置正确。有关说明、请参见。 "使用沙盒模式"
手动创建依赖方信任
如果您选择不导入依赖部件信任的数据,则可以手动输入值。
-
在 Windows Server Manager 中,选择 * 工具 * ,然后选择 * AD FS 管理 * 。
-
在操作下,选择 * 添加依赖方信任 * 。
-
在 Welcome 页面上,选择 * 声明感知 * ,然后选择 * 开始 * 。
-
选择 * 手动输入有关依赖方的数据 * ,然后选择 * 下一步 * 。
-
完成依赖方信任向导:
-
输入此管理节点的显示名称。
为了确保一致性,请使用管理节点的依赖方标识符,与网格管理器的单点登录页面上显示的一致。例如,
SG-DC1-ADM1
。 -
跳过此步骤可配置可选令牌加密证书。
-
在配置URL页面上,选中*启用对SAML 2.0 WebSSO协议的支持*复选框。
-
键入管理节点的 SAML 服务端点 URL :
https://Admin_Node_FQDN/api/saml-response
对于
Admin_Node_FQDN
,输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。) -
在配置标识符页面上,指定同一管理节点的依赖方标识符:
Admin_Node_Identifier
对于
Admin_Node_Identifier
,输入管理节点的“依赖方标识符”,与它在“单一登录”页面上显示的完全相同。例如,SG-DC1-ADM1
。 -
查看设置,保存依赖方信任并关闭向导。
此时将显示编辑款项申请发放策略对话框。
如果未显示此对话框,请右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。 -
-
要启动 Claim Rule 向导,请选择 * 添加规则 * :
-
在选择规则模板页面上,从列表中选择 * 将 LDAP 属性作为声明发送 * ,然后选择 * 下一步 * 。
-
在配置规则页面上,输入此规则的显示名称。
例如,ObjectGUID到名称ID*或*UPN到名称ID。
-
对于属性存储,选择 * Active Directory* 。
-
在映射表的LDAP属性列中,键入*objectGUID*或选择*User-Principal-Name*。
-
在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。
-
选择 * 完成 * ,然后选择 * 确定 * 。
-
-
右键单击依赖方信任以打开其属性。
-
在 * 端点 * 选项卡上,为单点注销( SLO )配置端点:
-
选择 * 添加 SAML * 。
-
选择 * 端点类型 * > * SAML 注销 * 。
-
选择 * 绑定 * > * 重定向 * 。
-
在 * 可信 URL* 字段中,输入用于从此管理节点单点注销( SLO )的 URL :
https://Admin_Node_FQDN/api/saml-logout
对于
Admin_Node_FQDN
,输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)-
选择 * 确定 * 。
-
-
在 * 签名 * 选项卡上,指定此依赖方信任的签名证书:
-
添加自定义证书:
-
如果您已将自定义管理证书上传到 StorageGRID ,请选择此证书。
-
如果您没有自定义证书、请登录到管理节点、转到管理节点的目录、 `/var/local/mgmt-api`然后添加 `custom-server.crt`证书文件。
(`server.crt`不建议使用管理节点的默认证书)。如果管理节点出现故障,则在恢复节点时将重新生成默认证书,您需要更新依赖方信任。
-
-
选择 * 应用 * ,然后选择 * 确定 * 。
依赖方属性将被保存并关闭。
-
-
重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。
-
完成后,返回到 StorageGRID 并测试所有相关方信任,以确认其配置正确。有关说明、请参见。 "使用沙盒模式"