Skip to main content
Setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用與BlueXP的身分識別聯盟

貢獻者
PDF

_Identity Federation®啟用單一登入BlueXP、讓使用者可以使用公司身分的認證登入。若要開始使用、請瞭解身分識別聯盟如何與BlueXP搭配運作、然後檢閱設定程序的總覽。

與 NSS 認證的身分識別聯盟

如果您使用 NetApp 支援網站 ( NSS )認證登入 BlueXP 、則不應遵循本頁的指示來設定身分識別聯盟。您應該改為執行下列動作:

NetApp 身分識別與存取管理團隊將審查您的申請。

身分識別聯盟的運作方式

設定身分識別聯盟會在BlueXP的驗證服務供應商(auth0)和您自己的身分識別管理供應商之間建立信任連線。

下圖說明身分識別聯盟如何與BlueXP搭配運作:

顯示使用者使用BlueXP進行驗證、以及BlueXP與驗證使用者身分識別供應商之間的連線的圖表。

  1. 使用者在BlueXP登入頁面上輸入電子郵件地址。

  2. BlueXP會識別電子郵件網域是聯盟連線的一部分、並使用信任的連線將驗證要求傳送給身分識別供應商。

    當您設定聯盟連線時、BlueXP一律會使用該聯盟連線進行驗證。

  3. 使用者使用公司目錄中的認證資料進行驗證。

  4. 您的身分識別供應商會驗證使用者的身分識別、且使用者已登入BlueXP。

身分識別聯盟使用開放式標準、例如安全聲明標記語言2.0(SAML)和OpenID Connect(OIDC)。

支援的身分識別供應商

BlueXP支援下列身分識別供應商:

  • 安全聲明標記語言(SAML)身分識別供應商

  • Microsoft Entra ID

  • Active Directory Federation Services(ADFS)

  • PingFedate

BlueXP僅支援服務供應商啟動(SP啟動)SSO。不支援身分識別供應商起始(IDP初始化)SSO。

設定程序總覽

在您建立BlueXP與身分識別管理供應商之間的連線之前、您應該先瞭解所需採取的步驟、以便做好相應的準備。

這些步驟僅適用於使用 NetApp 雲端登入登入 BlueXP 的使用者。如果您使用 NSS 認證登入 BlueXP 、 瞭解如何使用 NSS 認證設定身分識別聯盟

SAML身分識別供應商

在高層級上、在BlueXP與SAML身分識別供應商之間建立聯盟連線包括下列步驟:

步驟 完成者 說明

1.

Active Directory(AD)管理員

設定您的SAML身分識別供應商、以啟用與BlueXP的身分識別聯盟功能。

檢視SAML身分識別供應商的指示:

如果您的身分識別供應商未出現在上方清單中、 "請遵循下列一般指示"

提示 請勿完成介紹如何在驗證0中建立連線的步驟。您將在下一步建立該連線。

2.

BlueXP管理

前往 "NetApp聯盟設定頁面" 並建立與BlueXP的連線。

若要完成此步驟、您必須向AD管理員取得身分識別供應商的下列資訊:

  • 登入URL

  • X509簽署憑證(PEE或CERE格式)

  • 登出URL(選用)

使用此資訊建立連線之後、「Federation Setup」頁面會列出可傳送給AD管理員的參數、以便在下一步完成組態設定。

註 請記下憑證到期日。您需要返回「聯盟設定」頁面、並在憑證過期前更新憑證。這是您的責任。BlueXP 不會追蹤到期日。最好與您的 AD 團隊合作、準時收到警示。

3.

廣告管理員

完成步驟2之後、請使用「聯盟設定」頁面上顯示的參數、在身分識別供應商上完成組態設定。

4.

BlueXP管理

從測試並啟用連線 "NetApp聯盟設定頁面"

請注意、測試連線和啟用連線之間的頁面會重新整理。

Microsoft Entra ID

在高層級上、設定 BlueXP 與 Microsoft Entra ID 之間的聯盟連線包括下列步驟:

步驟 完成者 說明

1.

廣告管理員

設定 Microsoft Entra ID 以啟用與 BlueXP 的身分識別聯盟。

"檢視使用 Microsoft Entra ID 登錄應用程式的指示"

提示 請勿完成介紹如何在驗證0中建立連線的步驟。您將在下一步建立該連線。

2.

BlueXP管理

前往 "NetApp聯盟設定頁面" 並建立與BlueXP的連線。

若要完成此步驟、您必須向AD管理員取得下列資訊:

  • 用戶端ID

  • 用戶端機密值

  • Microsoft Entra ID 網域

使用此資訊建立連線之後、「Federation Setup」頁面會列出可傳送給AD管理員的參數、以便在下一步完成組態設定。

註 請記下秘密金鑰到期日。您需要返回「聯盟設定」頁面、並在憑證過期前更新憑證。這是您的責任。BlueXP 不會追蹤到期日。最好與您的 AD 團隊合作、準時收到警示。

3.

廣告管理員

完成步驟 2 之後、請使用「聯盟設定」頁面上顯示的參數、完成 Microsoft Entra ID 的組態設定。

4.

BlueXP管理

從測試並啟用連線 "NetApp聯盟設定頁面"

請注意、測試連線和啟用連線之間的頁面會重新整理。

ADFS

在高層級上、在BlueXP和ADFS之間設定聯盟連線包括下列步驟:

步驟 完成者 說明

1.

廣告管理員

設定ADFS伺服器以啟用與BluetXP的身分識別聯盟。

"檢視使用auth0設定ADFS伺服器的指示"

2.

BlueXP管理

前往 "NetApp聯盟設定頁面" 並建立與BlueXP的連線。

若要完成此步驟、您必須向AD管理員取得下列資訊:ADFS伺服器的URL或同盟中繼資料檔案。

使用此資訊建立連線之後、「Federation Setup」頁面會列出可傳送給AD管理員的參數、以便在下一步完成組態設定。

註 請記下憑證到期日。您需要返回「聯盟設定」頁面、並在憑證過期前更新憑證。這是您的責任。BlueXP 不會追蹤到期日。最好與您的 AD 團隊合作、準時收到警示。

3.

廣告管理員

完成步驟2後、使用「Federation Setup」(聯盟設定)頁面上顯示的參數、完成ADFS伺服器上的組態。

4.

BlueXP管理

從測試並啟用連線 "NetApp聯盟設定頁面"

請注意、測試連線和啟用連線之間的頁面會重新整理。

PingFedate

在高層級上、在BlueXP與PingFedate伺服器之間設定聯盟連線包括下列步驟:

步驟 完成者 說明

1.

廣告管理員

設定您的PingFederation伺服器、以啟用與BluedXP的身分識別聯盟。

"檢視建立連線的指示"

提示 請勿完成介紹如何在驗證0中建立連線的步驟。您將在下一步建立該連線。

2.

BlueXP管理

前往 "NetApp聯盟設定頁面" 並建立與BlueXP的連線。

若要完成此步驟、您必須向AD管理員取得下列資訊:

  • PingFedate伺服器的URL

  • X509簽署憑證(PEE或CERE格式)

使用此資訊建立連線之後、「Federation Setup」頁面會列出可傳送給AD管理員的參數、以便在下一步完成組態設定。

註 請記下憑證到期日。您需要返回「聯盟設定」頁面、並在憑證過期前更新憑證。這是您的責任。BlueXP 不會追蹤到期日。最好與您的 AD 團隊合作、準時收到警示。

3.

廣告管理員

完成步驟2之後、請使用「聯盟設定」頁面上顯示的參數、在PingFederation伺服器上完成設定。

4.

BlueXP管理

從測試並啟用連線 "NetApp聯盟設定頁面"

請注意、測試連線和啟用連線之間的頁面會重新整理。

正在更新聯盟連線

在BlueXP管理員啟用連線之後、管理員可以隨時從更新連線 "NetApp聯盟設定頁面"

例如、您可能需要上傳新的憑證來更新連線。

建立連線的BlueXP管理員是唯一能夠更新連線的授權使用者。如果您想新增其他管理員、請聯絡NetApp支援部門。