使用沙盒模式
在为所有 StorageGRID 用户启用单点登录( SSO )之前,您可以使用沙盒模式配置和测试单点登录( SSO )。启用 SSO 后,您可以在需要更改或重新测试配置时返回到沙盒模式。
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
您拥有"root访问权限"。
-
您已为 StorageGRID 系统配置身份联合。
-
对于身份联合 * LDAP 服务类型 * ,您根据计划使用的 SSO 身份提供程序选择了 Active Directory 或 Azure 。
已配置 LDAP 服务类型 SSO 身份提供程序的选项 Active Directory
-
Active Directory
-
Azure
-
PingFederate
Azure
Azure
-
启用 SSO 后,如果用户尝试登录到管理节点,则 StorageGRID 会向 SSO 身份提供程序发送身份验证请求。然后, SSO 身份提供程序会向 StorageGRID 发回身份验证响应,指示身份验证请求是否成功。对于成功的请求:
-
Active Directory 或 PingFederate 的响应包括用户的通用唯一标识符( UUID )。
-
Azure 的响应包括用户主体名称( UPN )。
要允许 StorageGRID (服务提供商)和 SSO 身份提供程序就用户身份验证请求进行安全通信,您必须在 StorageGRID 中配置某些设置。接下来,您必须使用 SSO 身份提供程序的软件为每个管理节点创建依赖方信任( AD FS ),企业应用程序( Azure )或服务提供商( PingFederate )。最后,您必须返回到 StorageGRID 以启用 SSO 。
使用沙盒模式,可以轻松执行此背面配置,并在启用 SSO 之前测试所有设置。使用沙盒模式时、用户无法使用SSO登录。
访问沙盒模式
-
选择 * 配置 * > * 访问控制 * > * 单点登录 * 。
此时将显示 Single Sign-On 页面,并选择 * 已禁用 * 选项。
如果未显示SSO状态选项、请确认已将身份提供程序配置为联合身份源。请参阅。 "单点登录的要求和注意事项" -
选择 * 沙盒模式 * 。
此时将显示 "Identity Provider" 部分。
输入身份提供程序详细信息
-
从下拉列表中选择 * SSO 类型 * 。
-
根据您选择的 SSO 类型填写身份提供程序部分中的字段。
Active Directory-
输入身份提供程序的 * 联合服务名称 * ,与 Active Directory 联合身份验证服务( AD FS )中显示的名称完全相同。
要查找联合服务名称,请转到 Windows Server Manager 。选择 * 工具 * > * AD FS 管理 * 。从操作菜单中,选择 * 编辑联合身份验证服务属性 * 。联合服务名称显示在第二个字段中。 -
指定当身份提供程序响应 StorageGRID 请求发送 SSO 配置信息时,将使用哪个 TLS 证书来保护连接安全。
-
* 使用操作系统 CA 证书 * :使用操作系统上安装的默认 CA 证书确保连接安全。
-
* 使用自定义 CA 证书 * :使用自定义 CA 证书确保连接安全。
如果选择此设置,请复制自定义证书的文本并将其粘贴到 * CA 证书 * 文本框中。
-
* 请勿使用 TLS* :请勿使用 TLS 证书来保护连接。
如果更改了CA证书、请立即"在管理节点上重新启动mgmt-api服务"测试是否已成功通过SSO进入网格管理器。
-
-
在依赖方部分中,指定 StorageGRID 的 * 依赖方标识符 * 。此值控制 AD FS 中每个依赖方信任所使用的名称。
-
例如,如果您的网格只有一个管理节点,并且您不希望将来添加更多管理节点,请输入
SG`或 `StorageGRID
。 -
如果网格包含多个管理节点、请在标识符中包含此字符串
[HOSTNAME]
。例如,SG-[HOSTNAME]
。此时将生成一个表,其中根据节点的主机名显示系统中每个管理节点的依赖方标识符。
您必须为 StorageGRID 系统中的每个管理节点创建依赖方信任。对每个管理节点拥有依赖方信任,可确保用户可以安全地登录和注销任何管理节点。 -
-
选择 * 保存 * 。
绿色复选标记将在 * 保存 * 按钮上显示几秒钟。
Azure-
指定当身份提供程序响应 StorageGRID 请求发送 SSO 配置信息时,将使用哪个 TLS 证书来保护连接安全。
-
* 使用操作系统 CA 证书 * :使用操作系统上安装的默认 CA 证书确保连接安全。
-
* 使用自定义 CA 证书 * :使用自定义 CA 证书确保连接安全。
如果选择此设置,请复制自定义证书的文本并将其粘贴到 * CA 证书 * 文本框中。
-
* 请勿使用 TLS* :请勿使用 TLS 证书来保护连接。
如果更改了CA证书、请立即"在管理节点上重新启动mgmt-api服务"测试是否已成功通过SSO进入网格管理器。
-
-
在企业应用程序部分中,为 StorageGRID 指定 * 企业应用程序名称 * 。此值控制 Azure AD 中每个企业应用程序使用的名称。
-
例如,如果您的网格只有一个管理节点,并且您不希望将来添加更多管理节点,请输入
SG`或 `StorageGRID
。 -
如果网格包含多个管理节点、请在标识符中包含此字符串
[HOSTNAME]
。例如,SG-[HOSTNAME]
。此时将生成一个表,其中根据节点的主机名显示系统中每个管理节点的企业应用程序名称。
您必须为 StorageGRID 系统中的每个管理节点创建一个企业级应用程序。为每个管理节点配备一个企业级应用程序可确保用户可以安全地登录和注销任何管理节点。 -
-
按照中的步骤为表中"在 Azure AD 中创建企业级应用程序"列出的每个管理节点创建企业应用程序。
-
从 Azure AD 中,复制每个企业应用程序的联合元数据 URL 。然后,将此 URL 粘贴到 StorageGRID 中相应的 * 联合元数据 URL* 字段中。
-
复制并粘贴所有管理节点的联合元数据 URL 后,选择 * 保存 * 。
绿色复选标记将在 * 保存 * 按钮上显示几秒钟。
PingFederate-
指定当身份提供程序响应 StorageGRID 请求发送 SSO 配置信息时,将使用哪个 TLS 证书来保护连接安全。
-
* 使用操作系统 CA 证书 * :使用操作系统上安装的默认 CA 证书确保连接安全。
-
* 使用自定义 CA 证书 * :使用自定义 CA 证书确保连接安全。
如果选择此设置,请复制自定义证书的文本并将其粘贴到 * CA 证书 * 文本框中。
-
* 请勿使用 TLS* :请勿使用 TLS 证书来保护连接。
如果更改了CA证书、请立即"在管理节点上重新启动mgmt-api服务"测试是否已成功通过SSO进入网格管理器。
-
-
在服务提供商( SP )部分中,为 StorageGRID 指定 * SP 连接 ID* 。此值控制 PingFederate 中每个 SP 连接使用的名称。
-
例如,如果您的网格只有一个管理节点,并且您不希望将来添加更多管理节点,请输入
SG`或 `StorageGRID
。 -
如果网格包含多个管理节点、请在标识符中包含此字符串
[HOSTNAME]
。例如,SG-[HOSTNAME]
。此时将生成一个表,其中根据节点的主机名显示系统中每个管理节点的 SP 连接 ID 。
您必须为 StorageGRID 系统中的每个管理节点创建一个 SP 连接。为每个管理节点建立 SP 连接可确保用户可以安全地登录和注销任何管理节点。 -
-
在 * 联合元数据 URL* 字段中指定每个管理节点的联合元数据 URL 。
请使用以下格式:
https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>
-
选择 * 保存 * 。
绿色复选标记将在 * 保存 * 按钮上显示几秒钟。
-
配置依赖方信任,企业应用程序或 SP 连接
保存配置后,将显示沙盒模式确认通知。此通知用于确认沙盒模式现已启用,并提供了概述说明。
只要需要, StorageGRID 就可以保持沙盒模式。但是,如果在 Single Sign-On 页面上选择了 * 沙盒模式 * ,则所有 StorageGRID 用户都将禁用 SSO 。只有本地用户才能登录。
按照以下步骤配置依赖方信任( Active Directory ),完整的企业应用程序( Azure )或配置 SP 连接( PingFederate )。
-
转至 Active Directory 联合身份验证服务( AD FS )。
-
使用 StorageGRID 单点登录页面上的表中所示的每个依赖方标识符为 StorageGRID 创建一个或多个依赖方信任。
您必须为表中所示的每个管理节点创建一个信任。
有关说明,请转至"在 AD FS 中创建依赖方信任"。
-
从当前登录到的管理节点的单点登录页面中,选择按钮以下载并保存 SAML 元数据。
-
然后,对于网格中的任何其他管理节点,重复以下步骤:
-
登录到节点。
-
选择 * 配置 * > * 访问控制 * > * 单点登录 * 。
-
下载并保存该节点的 SAML 元数据。
-
-
转到 Azure 门户。
-
按照中的步骤将每个管理节点的SAML元数据文件上传到其对应的Azure企业应用程序中"在 Azure AD 中创建企业级应用程序"。
-
从当前登录到的管理节点的单点登录页面中,选择按钮以下载并保存 SAML 元数据。
-
然后,对于网格中的任何其他管理节点,重复以下步骤:
-
登录到节点。
-
选择 * 配置 * > * 访问控制 * > * 单点登录 * 。
-
下载并保存该节点的 SAML 元数据。
-
-
转到 PingFederate 。
-
"为 StorageGRID 创建一个或多个服务提供商( SP )连接"(英文)使用每个管理节点的 SP 连接 ID (如 StorageGRID 单点登录页面上的表所示)以及为该管理节点下载的 SAML 元数据。
您必须为表中所示的每个管理节点创建一个 SP 连接。
测试 SSO 连接
在对整个 StorageGRID 系统强制使用单点登录之前,您应确认已为每个管理节点正确配置单点登录和单点注销。
-
在 StorageGRID 单点登录页面中,找到沙盒模式消息中的链接。
此 URL 是从您在 * 联合服务名称 * 字段中输入的值派生的。
-
选择此链接,或者将此 URL 复制并粘贴到浏览器中,以访问身份提供程序的登录页面。
-
要确认您可以使用 SSO 登录到 StorageGRID ,请选择 * 登录到以下站点之一 * ,选择主管理节点的依赖方标识符,然后选择 * 登录 * 。
-
输入您的联合用户名和密码。
-
如果 SSO 登录和注销操作成功,则会显示一条成功消息。
-
如果 SSO 操作失败,则会显示一条错误消息。修复问题描述 ,清除浏览器的 Cookie 并重试。
-
-
重复上述步骤,验证网格中每个管理节点的 SSO 连接。
-
转到 Azure 门户中的单点登录页面。
-
选择 * 测试此应用程序 * 。
-
输入联合用户的凭据。
-
如果 SSO 登录和注销操作成功,则会显示一条成功消息。
-
如果 SSO 操作失败,则会显示一条错误消息。修复问题描述 ,清除浏览器的 Cookie 并重试。
-
-
重复上述步骤,验证网格中每个管理节点的 SSO 连接。
-
从 StorageGRID 单点登录页面中,选择沙盒模式消息中的第一个链接。
一次选择并测试一个链路。
-
输入联合用户的凭据。
-
如果 SSO 登录和注销操作成功,则会显示一条成功消息。
-
如果 SSO 操作失败,则会显示一条错误消息。修复问题描述 ,清除浏览器的 Cookie 并重试。
-
-
选择下一个链接以验证网格中每个管理节点的 SSO 连接。
如果您看到页面已过期消息,请在浏览器中选择 * 返回 * 按钮,然后重新提交您的凭据。
启用单点登录
确认可以使用 SSO 登录到每个管理节点后,您可以为整个 StorageGRID 系统启用 SSO 。
启用 SSO 后,所有用户都必须使用 SSO 访问网格管理器,租户管理器,网格管理 API 和租户管理 API 。本地用户无法再访问 StorageGRID 。 |
-
选择 * 配置 * > * 访问控制 * > * 单点登录 * 。
-
将 SSO 状态更改为 * 已启用 * 。
-
选择 * 保存 * 。
-
查看警告消息,然后选择 * 确定 * 。
现在,已启用单点登录。
如果您使用的是 Azure 门户,并且从用于访问 Azure 的同一计算机访问 StorageGRID ,请确保 Azure 门户用户也是授权的 StorageGRID 用户(已导入到 StorageGRID 的联合组中的用户) 或者,在尝试登录到 StorageGRID 之前,请先从 Azure 门户中注销。 |