SSO 的要求和注意事项
建议更改
PDF
在为StorageGRID 系统启用单点登录(Single Sign On、SSO)之前、请查看相关要求和注意事项。
身份提供程序要求
StorageGRID 支持以下 SSO 身份提供程序( IdP ):
-
Active Directory 联合身份验证服务( AD FS )
-
微软Entra ID
-
PingFederate
您必须先为 StorageGRID 系统配置身份联合,然后才能配置 SSO 身份提供程序。用于身份联合的 LDAP 服务类型控制您可以实施的 SSO 类型。
| 已配置 LDAP 服务类型 | SSO 身份提供程序的选项 |
|---|---|
Active Directory |
|
进入 ID |
进入 ID |
AD FS 要求
您可以使用以下任意版本的 AD FS :
-
Windows Server 2022 AD FS
-
Windows Server 2019 AD FS
-
Windows Server 2016 AD FS
|
Windows Server 2016应使用 "KB3201845 更新"、或更高版本。 |
其他要求
-
传输层安全( Transport Layer Security , TLS ) 1.2 或 1.3
-
Microsoft .NET Framework 3.5.1 或更高版本
Entra ID 的注意事项
如果您使用 Entra ID 作为 SSO 类型,并且用户的用户主体名称不使用 sAMAccountName 作为前缀,则当StorageGRID与 LDAP 服务器失去连接时,可能会出现登录问题。要允许用户登录,您必须恢复与 LDAP 服务器的连接。
服务器证书要求
默认情况下, StorageGRID在每个管理节点上使用管理接口证书来保护对网格管理器、租户管理器、网格管理 API 和租户管理 API 的访问。为StorageGRID配置信赖方信任 (AD FS)、企业应用程序 (Entra ID) 或服务提供商连接 (PingFederate) 时,您可以使用服务器证书作为StorageGRID请求的签名证书。
如果您尚未"已为管理接口配置自定义证书"执行此操作,则应立即执行此操作。安装自定义服务器证书时,该证书将用于所有管理节点,您可以在所有 StorageGRID 依赖方信任关系,企业应用程序或 SP 连接中使用该证书。
|
|
建议不要在依赖方信任,企业应用程序或 SP 连接中使用管理节点的默认服务器证书。如果节点发生故障而您恢复了该节点,则会生成一个新的默认服务器证书。在登录到已恢复的节点之前,您必须使用新证书更新依赖方信任,企业应用程序或 SP 连接。 |
您可以通过登录到管理节点的命令Shell并转到目录来访问此节点的服务器证书 /var/local/mgmt-api。自定义服务器证书名为 custom-server.crt。此节点的默认服务器证书名为 server.crt。
端口要求
受限网格管理器或租户管理器端口上不提供单点登录( SSO )。如果您希望用户通过单点登录进行身份验证,则必须使用默认 HTTPS 端口( 443 )。请参阅。 "在外部防火墙处控制访问"