Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用沙盒模式

贡献者
PDF

在为所有 StorageGRID 用户启用单点登录( SSO )之前,您可以使用沙盒模式配置和测试单点登录( SSO )。启用 SSO 后,您可以在需要更改或重新测试配置时返回到沙盒模式。

开始之前

  • 您已使用登录到网格管理器"支持的 Web 浏览器"

  • 您拥有"root访问权限"

  • 您已为 StorageGRID 系统配置身份联合。

  • 对于身份联合 * LDAP 服务类型 * ,您根据计划使用的 SSO 身份提供程序选择了 Active Directory 或 Azure 。

    已配置 LDAP 服务类型 SSO 身份提供程序的选项

    Active Directory

    • Active Directory

    • Azure

    • PingFederate

    Azure

    Azure
关于此任务

启用 SSO 后,如果用户尝试登录到管理节点,则 StorageGRID 会向 SSO 身份提供程序发送身份验证请求。然后, SSO 身份提供程序会向 StorageGRID 发回身份验证响应,指示身份验证请求是否成功。对于成功的请求:

  • Active Directory 或 PingFederate 的响应包括用户的通用唯一标识符( UUID )。

  • Azure 的响应包括用户主体名称( UPN )。

要允许 StorageGRID (服务提供商)和 SSO 身份提供程序就用户身份验证请求进行安全通信,您必须在 StorageGRID 中配置某些设置。接下来,您必须使用 SSO 身份提供程序的软件为每个管理节点创建依赖方信任( AD FS ),企业应用程序( Azure )或服务提供商( PingFederate )。最后,您必须返回到 StorageGRID 以启用 SSO 。

使用沙盒模式,可以轻松执行此背面配置,并在启用 SSO 之前测试所有设置。使用沙盒模式时、用户无法使用SSO登录。

访问沙盒模式

步骤

  1. 选择 * 配置 * > * 访问控制 * > * 单点登录 * 。

    此时将显示 Single Sign-On 页面,并选择 * 已禁用 * 选项。

    已禁用 SSO 状态的单点登录页面
    备注 如果未显示SSO状态选项、请确认已将身份提供程序配置为联合身份源。请参阅。 "单点登录的要求和注意事项"

  2. 选择 * 沙盒模式 * 。

    此时将显示 "Identity Provider" 部分。

输入身份提供程序详细信息

步骤

  1. 从下拉列表中选择 * SSO 类型 * 。

  2. 根据您选择的 SSO 类型填写身份提供程序部分中的字段。

    Active Directory

    1. 输入身份提供程序的 * 联合服务名称 * ,与 Active Directory 联合身份验证服务( AD FS )中显示的名称完全相同。

      备注 要查找联合服务名称,请转到 Windows Server Manager 。选择 * 工具 * > * AD FS 管理 * 。从操作菜单中,选择 * 编辑联合身份验证服务属性 * 。联合服务名称显示在第二个字段中。

    2. 指定当身份提供程序响应 StorageGRID 请求发送 SSO 配置信息时,将使用哪个 TLS 证书来保护连接安全。

      • * 使用操作系统 CA 证书 * :使用操作系统上安装的默认 CA 证书确保连接安全。

      • * 使用自定义 CA 证书 * :使用自定义 CA 证书确保连接安全。

        如果选择此设置,请复制自定义证书的文本并将其粘贴到 * CA 证书 * 文本框中。

      • * 请勿使用 TLS* :请勿使用 TLS 证书来保护连接。

        注意 如果更改了CA证书、请立即"在管理节点上重新启动mgmt-api服务"测试是否已成功通过SSO进入网格管理器。

    3. 在依赖方部分中,指定 StorageGRID 的 * 依赖方标识符 * 。此值控制 AD FS 中每个依赖方信任所使用的名称。

      • 例如,如果您的网格只有一个管理节点,并且您不希望将来添加更多管理节点,请输入 SG`或 `StorageGRID

      • 如果网格包含多个管理节点、请在标识符中包含此字符串 [HOSTNAME]。例如, SG-[HOSTNAME]。此时将生成一个表,其中根据节点的主机名显示系统中每个管理节点的依赖方标识符。

        单点登录
      备注 您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。

    4. 选择 * 保存 * 。

      绿色复选标记将在 * 保存 * 按钮上显示几秒钟。

      带绿色复选标记的保存按钮

配置依赖方信任,企业应用程序或 SP 连接

保存配置后,将显示沙盒模式确认通知。此通知用于确认沙盒模式现已启用,并提供了概述说明。

只要需要, StorageGRID 就可以保持沙盒模式。但是,如果在 Single Sign-On 页面上选择了 * 沙盒模式 * ,则所有 StorageGRID 用户都将禁用 SSO 。只有本地用户才能登录。

按照以下步骤配置依赖方信任( Active Directory ),完整的企业应用程序( Azure )或配置 SP 连接( PingFederate )。

Active Directory
步骤

  1. 转至 Active Directory 联合身份验证服务( AD FS )。

  2. 使用 StorageGRID 单点登录页面上的表中所示的每个依赖方标识符为 StorageGRID 创建一个或多个依赖方信任。

    您必须为表中所示的每个管理节点创建一个信任。

    有关说明,请转至"在 AD FS 中创建依赖方信任"

测试 SSO 连接

在对整个 StorageGRID 系统强制使用单点登录之前,您应确认已为每个管理节点正确配置单点登录和单点注销。

Active Directory
步骤

  1. 在 StorageGRID 单点登录页面中,找到沙盒模式消息中的链接。

    此 URL 是从您在 * 联合服务名称 * 字段中输入的值派生的。

    身份提供程序登录页面的 URL

  2. 选择此链接,或者将此 URL 复制并粘贴到浏览器中,以访问身份提供程序的登录页面。

  3. 要确认您可以使用 SSO 登录到 StorageGRID ,请选择 * 登录到以下站点之一 * ,选择主管理节点的依赖方标识符,然后选择 * 登录 * 。

    在 SSO 沙盒模式下测试依赖方信任

  4. 输入您的联合用户名和密码。

    • 如果 SSO 登录和注销操作成功,则会显示一条成功消息。

      SSO 身份验证和注销测试成功消息

    • 如果 SSO 操作失败,则会显示一条错误消息。修复问题描述 ,清除浏览器的 Cookie 并重试。

  5. 重复上述步骤,验证网格中每个管理节点的 SSO 连接。

启用单点登录

确认可以使用 SSO 登录到每个管理节点后,您可以为整个 StorageGRID 系统启用 SSO 。

提示 启用 SSO 后,所有用户都必须使用 SSO 访问网格管理器,租户管理器,网格管理 API 和租户管理 API 。本地用户无法再访问 StorageGRID 。
步骤

  1. 选择 * 配置 * > * 访问控制 * > * 单点登录 * 。

  2. 将 SSO 状态更改为 * 已启用 * 。

  3. 选择 * 保存 * 。

  4. 查看警告消息,然后选择 * 确定 * 。

    现在,已启用单点登录。

提示 如果您使用的是 Azure 门户,并且从用于访问 Azure 的同一计算机访问 StorageGRID ,请确保 Azure 门户用户也是授权的 StorageGRID 用户(已导入到 StorageGRID 的联合组中的用户) 或者,在尝试登录到 StorageGRID 之前,请先从 Azure 门户中注销。