Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 AD FS 中创建依赖方信任

贡献者

您必须使用 Active Directory 联合身份验证服务( AD FS )为系统中的每个管理节点创建依赖方信任。您可以使用 PowerShell 命令,从 StorageGRID 导入 SAML 元数据或手动输入数据来创建依赖方信任。

开始之前
  • 您已为 StorageGRID 配置单点登录,并选择了 * AD FS* 作为 SSO 类型。

  • 在网格管理器的单点登录页面上选择了 * 沙盒模式 * 。请参阅。 "使用沙盒模式"

  • 您知道系统中每个管理节点的完全限定域名(或 IP 地址)和依赖方标识符。您可以在 StorageGRID 单点登录页面上的管理节点详细信息表中找到这些值。

    备注 您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。
  • 您有在 AD FS 中创建依赖方信任的经验,也可以访问 Microsoft AD FS 文档。

  • 您正在使用 AD FS 管理单元,并且属于管理员组。

  • 如果您要手动创建依赖方信任,则可以获得为 StorageGRID 管理界面上传的自定义证书,或者知道如何从命令 Shell 登录到管理节点。

关于此任务

以下说明适用于 Windows Server 2016 AD FS 。如果您使用的是其他版本的 AD FS ,则会注意到操作步骤 略有不同。如果您有任何疑问,请参见 Microsoft AD FS 文档。

使用 Windows PowerShell 创建依赖方信任

您可以使用 Windows PowerShell 快速创建一个或多个依赖方信任。

步骤
  1. 从 Windows 开始菜单中,右键选择 PowerShell 图标,然后选择 * 以管理员身份运行 * 。

  2. 在 PowerShell 命令提示符处,输入以下命令:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • 对于 Admin_Node_Identifier,输入管理节点的“依赖方标识符”,与它在“单一登录”页面上显示的完全相同。例如, SG-DC1-ADM1

    • 对于 Admin_Node_FQDN,输入同一管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

  3. 在 Windows Server Manager 中,选择 * 工具 * > * AD FS 管理 * 。

    此时将显示 AD FS 管理工具。

  4. 选择 * AD FS* > * 依赖方信任 * 。

    此时将显示依赖方信任列表。

  5. 向新创建的依赖方信任添加访问控制策略:

    1. 找到您刚刚创建的依赖方信任。

    2. 右键单击信任,然后选择 * 编辑访问控制策略 * 。

    3. 选择访问控制策略。

    4. 选择 * 应用 * ,然后选择 * 确定 *

  6. 将款项申请发放策略添加到新创建的相关方信任:

    1. 找到您刚刚创建的依赖方信任。

    2. 右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。

    3. 选择 * 添加规则 * 。

    4. 在选择规则模板页面上,从列表中选择 * 将 LDAP 属性作为声明发送 * ,然后选择 * 下一步 * 。

    5. 在配置规则页面上,输入此规则的显示名称。

      例如,ObjectGUID到名称ID*或*UPN到名称ID

    6. 对于属性存储,选择 * Active Directory* 。

    7. 在映射表的LDAP属性列中,键入*objectGUID*或选择*User-Principal-Name*。

    8. 在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。

    9. 选择 * 完成 * ,然后选择 * 确定 * 。

  7. 确认元数据已成功导入。

    1. 右键单击依赖方信任以打开其属性。

    2. 确认已填充 * 端点 * , * 标识符 * 和 * 签名 * 选项卡上的字段。

      如果缺少元数据、请确认联盟元数据地址是否正确、或者手动输入值。

  8. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。

  9. 完成后,返回到 StorageGRID 并测试所有相关方信任,以确认其配置正确。有关说明、请参见。 "使用沙盒模式"

通过导入联合元数据创建依赖方信任

您可以通过访问每个管理节点的 SAML 元数据来导入每个依赖方信任的值。

步骤
  1. 在 Windows Server Manager 中,选择 * 工具 * ,然后选择 * AD FS 管理 * 。

  2. 在操作下,选择 * 添加依赖方信任 * 。

  3. 在 Welcome 页面上,选择 * 声明感知 * ,然后选择 * 开始 * 。

  4. 选择 * 导入有关依赖方的在线或本地网络上发布的数据 * 。

  5. 在 * 联合元数据地址(主机名或 URL ) * 中,键入此管理节点的 SAML 元数据的位置:

    https://Admin_Node_FQDN/api/saml-metadata

    对于 Admin_Node_FQDN,输入同一管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

  6. 完成依赖方信任向导,保存依赖方信任并关闭该向导。

    备注 输入显示名称时,请使用管理节点的相关方标识符,与网格管理器的 Single Sign-On 页面上显示的完全相同。例如, SG-DC1-ADM1
  7. 添加声明规则:

    1. 右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。

    2. 选择 * 添加规则 * :

    3. 在选择规则模板页面上,从列表中选择 * 将 LDAP 属性作为声明发送 * ,然后选择 * 下一步 * 。

    4. 在配置规则页面上,输入此规则的显示名称。

      例如,ObjectGUID到名称ID*或*UPN到名称ID

    5. 对于属性存储,选择 * Active Directory* 。

    6. 在映射表的LDAP属性列中,键入*objectGUID*或选择*User-Principal-Name*。

    7. 在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。

    8. 选择 * 完成 * ,然后选择 * 确定 * 。

  8. 确认元数据已成功导入。

    1. 右键单击依赖方信任以打开其属性。

    2. 确认已填充 * 端点 * , * 标识符 * 和 * 签名 * 选项卡上的字段。

      如果缺少元数据、请确认联盟元数据地址是否正确、或者手动输入值。

  9. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。

  10. 完成后,返回到 StorageGRID 并测试所有相关方信任,以确认其配置正确。有关说明、请参见。 "使用沙盒模式"

手动创建依赖方信任

如果您选择不导入依赖部件信任的数据,则可以手动输入值。

步骤
  1. 在 Windows Server Manager 中,选择 * 工具 * ,然后选择 * AD FS 管理 * 。

  2. 在操作下,选择 * 添加依赖方信任 * 。

  3. 在 Welcome 页面上,选择 * 声明感知 * ,然后选择 * 开始 * 。

  4. 选择 * 手动输入有关依赖方的数据 * ,然后选择 * 下一步 * 。

  5. 完成依赖方信任向导:

    1. 输入此管理节点的显示名称。

      为了确保一致性,请使用管理节点的依赖方标识符,与网格管理器的单点登录页面上显示的一致。例如, SG-DC1-ADM1

    2. 跳过此步骤可配置可选令牌加密证书。

    3. 在配置URL页面上,选中*启用对SAML 2.0 WebSSO协议的支持*复选框。

    4. 键入管理节点的 SAML 服务端点 URL :

      https://Admin_Node_FQDN/api/saml-response

      对于 Admin_Node_FQDN,输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

    5. 在配置标识符页面上,指定同一管理节点的依赖方标识符:

      Admin_Node_Identifier

      对于 Admin_Node_Identifier,输入管理节点的“依赖方标识符”,与它在“单一登录”页面上显示的完全相同。例如, SG-DC1-ADM1

    6. 查看设置,保存依赖方信任并关闭向导。

      此时将显示编辑款项申请发放策略对话框。

    备注 如果未显示此对话框,请右键单击此信任,然后选择 * 编辑款项申请发放策略 * 。
  6. 要启动 Claim Rule 向导,请选择 * 添加规则 * :

    1. 在选择规则模板页面上,从列表中选择 * 将 LDAP 属性作为声明发送 * ,然后选择 * 下一步 * 。

    2. 在配置规则页面上,输入此规则的显示名称。

      例如,ObjectGUID到名称ID*或*UPN到名称ID

    3. 对于属性存储,选择 * Active Directory* 。

    4. 在映射表的LDAP属性列中,键入*objectGUID*或选择*User-Principal-Name*。

    5. 在映射表的传出款项申请类型列中,从下拉列表中选择 * 名称 ID* 。

    6. 选择 * 完成 * ,然后选择 * 确定 * 。

  7. 右键单击依赖方信任以打开其属性。

  8. 在 * 端点 * 选项卡上,为单点注销( SLO )配置端点:

    1. 选择 * 添加 SAML * 。

    2. 选择 * 端点类型 * > * SAML 注销 * 。

    3. 选择 * 绑定 * > * 重定向 * 。

    4. 在 * 可信 URL* 字段中,输入用于从此管理节点单点注销( SLO )的 URL :

      https://Admin_Node_FQDN/api/saml-logout

    对于 Admin_Node_FQDN,输入管理节点的完全限定域名。(如有必要,您可以改用节点的 IP 地址。但是,如果您在此处输入 IP 地址,请注意,如果此依赖方信任的 IP 地址发生更改,您必须更新或重新创建此信任。)

    1. 选择 * 确定 * 。

  9. 在 * 签名 * 选项卡上,指定此依赖方信任的签名证书:

    1. 添加自定义证书:

      • 如果您已将自定义管理证书上传到 StorageGRID ,请选择此证书。

      • 如果您没有自定义证书、请登录到管理节点、转到管理节点的目录、 `/var/local/mgmt-api`然后添加 `custom-server.crt`证书文件。

        备注 (`server.crt`不建议使用管理节点的默认证书)。如果管理节点出现故障,则在恢复节点时将重新生成默认证书,您需要更新依赖方信任。
    2. 选择 * 应用 * ,然后选择 * 确定 * 。

      依赖方属性将被保存并关闭。

  10. 重复上述步骤,为 StorageGRID 系统中的所有管理节点配置依赖方信任。

  11. 完成后,返回到 StorageGRID 并测试所有相关方信任,以确认其配置正确。有关说明、请参见。 "使用沙盒模式"