Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在AD FS中建立依賴方信任

貢獻者

您必須使用Active Directory Federation Services(AD FS)為系統中的每個管理節點建立信賴關係人信任。您可以使用PowerShell命令、從StorageGRID 支援中心匯入SAML中繼資料、或手動輸入資料、來建立依賴方信任。

使用Windows PowerShell建立信賴廠商信任

您可以使用Windows PowerShell快速建立一或多個信賴關係人信任。

您需要的產品
  • 您已將SSO設定為StorageGRID 「支援」、而且您知道系統中每個管理節點的完整網域名稱(或IP位址)和依賴方識別碼。

    註 您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。
  • 您有在AD FS中建立信賴關係人信任關係的經驗、或是可以存取Microsoft AD FS文件。

  • 您使用的是AD FS管理嵌入式管理單元、屬於「系統管理員」群組。

關於這項工作

這些指示適用於Windows Server 2016隨附的AD FS 4.0。如果您使用的是Windows 2012 R2隨附的AD FS 3.0、您會注意到程序上的細微差異。如有任何問題、請參閱Microsoft AD FS文件。

步驟
  1. 在Windows開始功能表中、以滑鼠右鍵按一下PowerShell圖示、然後選取*以系統管理員身分執行*。

  2. 在PowerShell命令提示字元中輸入下列命令:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • 適用於 Admin_Node_Identifier`下、輸入管理節點的信賴方識別碼、完全如同「單一登入」頁面所示。例如、 `SG-DC1-ADM1

    • 適用於 `Admin_Node_FQDN`下、輸入相同管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

  3. 從Windows Server Manager中、選取* Tools > AD FS Management *。

    隨即顯示AD FS管理工具。

  4. 選取「* AD FS*>*信賴廠商信任*」。

    此時會出現信賴方信任清單。

  5. 新增存取控制原則至新建立的信賴關係人信任:

    1. 找出您剛建立的信賴關係人。

    2. 在信任上按一下滑鼠右鍵、然後選取*編輯存取控制原則*。

    3. 選取存取控制原則。

    4. 按一下「套用」、然後按一下「確定

  6. 新增請款核發政策至新建立的信賴方信託:

    1. 找出您剛建立的信賴關係人。

    2. 以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。

    3. 按一下*新增規則*。

    4. 在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後按一下* Next*(下一步)。

    5. 在「設定規則」頁面上、輸入此規則的顯示名稱。

      例如、* ObjectGuid至Name ID*。

    6. 針對屬性存放區、選取* Active Directory *。

    7. 在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。

    8. 在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。

    9. 按一下「完成」、然後按一下「確定」。

  7. 確認中繼資料已成功匯入。

    1. 在依賴方信任上按一下滑鼠右鍵、開啟其內容。

    2. 確認已填入*端點*、*識別項*和*簽名*索引標籤上的欄位。

      如果中繼資料遺失、請確認同盟中繼資料位址正確、或只是手動輸入值。

  8. 重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。

  9. 完成後、請返回StorageGRID 到「還原」和 "測試所有依賴方信任" 以確認設定正確。

透過匯入聯盟中繼資料來建立依賴方信任

您可以存取每個管理節點的SAML中繼資料、以匯入每個信賴方信任的值。

您需要的產品
  • 您已將SSO設定為StorageGRID 「支援」、而且您知道系統中每個管理節點的完整網域名稱(或IP位址)和依賴方識別碼。

    註 您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。
  • 您有在AD FS中建立信賴關係人信任關係的經驗、或是可以存取Microsoft AD FS文件。

  • 您使用的是AD FS管理嵌入式管理單元、屬於「系統管理員」群組。

關於這項工作

這些指示適用於Windows Server 2016隨附的AD FS 4.0。如果您使用的是Windows 2012 R2隨附的AD FS 3.0、您會注意到程序上的細微差異。如有任何問題、請參閱Microsoft AD FS文件。

步驟
  1. 在Windows Server Manager中、按一下*「工具」、然後選取「 AD FS管理*」。

  2. 在「Actions(動作)」下、按一下「* Add S依賴 方Trust(*新增

  3. 在歡迎頁面上、選擇* Claims感知*、然後按一下*開始*。

  4. 選取*匯入線上發佈的依賴方相關資料、或是本機網路上的相關資料*。

  5. 在*聯盟中繼資料位址(主機名稱或URL)*中、輸入此管理節點的SAML中繼資料位置:

    https://Admin_Node_FQDN/api/saml-metadata

    適用於 `Admin_Node_FQDN`下、輸入相同管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

  6. 完成「信賴方信任」精靈、儲存信賴方信任、然後關閉精靈。

    註 輸入顯示名稱時、請使用管理節點的信賴方識別碼、如同網格管理器的「單一登入」頁面上所顯示的一樣。例如、 SG-DC1-ADM1
  7. 新增報銷規則:

    1. 以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。

    2. 按一下*新增規則*:

    3. 在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後按一下* Next*(下一步)。

    4. 在「設定規則」頁面上、輸入此規則的顯示名稱。

      例如、* ObjectGuid至Name ID*。

    5. 針對屬性存放區、選取* Active Directory *。

    6. 在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。

    7. 在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。

    8. 按一下「完成」、然後按一下「確定」。

  8. 確認中繼資料已成功匯入。

    1. 在依賴方信任上按一下滑鼠右鍵、開啟其內容。

    2. 確認已填入*端點*、*識別項*和*簽名*索引標籤上的欄位。

      如果中繼資料遺失、請確認同盟中繼資料位址正確、或只是手動輸入值。

  9. 重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。

  10. 完成後、請返回StorageGRID 到「還原」和 "測試所有依賴方信任" 以確認設定正確。

手動建立依賴方信任

如果您選擇不匯入依賴零件信任的資料、您可以手動輸入值。

您需要的產品
  • 您已將SSO設定為StorageGRID 「支援」、而且您知道系統中每個管理節點的完整網域名稱(或IP位址)和依賴方識別碼。

    註 您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。
  • 您有上傳的StorageGRID 自訂憑證供您使用、或者您知道如何從命令Shell登入管理節點。

  • 您有在AD FS中建立信賴關係人信任關係的經驗、或是可以存取Microsoft AD FS文件。

  • 您使用的是AD FS管理嵌入式管理單元、屬於「系統管理員」群組。

關於這項工作

這些指示適用於Windows Server 2016隨附的AD FS 4.0。如果您使用的是Windows 2012 R2隨附的AD FS 3.0、您會注意到程序上的細微差異。如有任何問題、請參閱Microsoft AD FS文件。

步驟
  1. 在Windows Server Manager中、按一下*「工具」、然後選取「 AD FS管理*」。

  2. 在「Actions(動作)」下、按一下「* Add S依賴 方Trust(*新增

  3. 在歡迎頁面上、選擇* Claims感知*、然後按一下*開始*。

  4. 選取*手動輸入依賴方的相關資料*、然後按一下*下一步*。

  5. 完成信賴廠商信任精靈:

    1. 輸入此管理節點的顯示名稱。

      為確保一致性、請使用管理節點的信賴方識別碼、如同網格管理器的「單一登入」頁面上所顯示的一樣。例如、 SG-DC1-ADM1

    2. 跳過設定選用權杖加密憑證的步驟。

    3. 在「設定URL」頁面上、選取「啟用SAML 2.0 WebSSO傳輸協定的支援」核取方塊。

    4. 輸入管理節點的SAML服務端點URL:

      https://Admin_Node_FQDN/api/saml-response

      適用於 `Admin_Node_FQDN`下、輸入管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

    5. 在「設定識別碼」頁面上、指定相同管理節點的信賴方識別碼:

      Admin_Node_Identifier

      適用於 Admin_Node_Identifier`下、輸入管理節點的信賴方識別碼、完全如同「單一登入」頁面所示。例如、 `SG-DC1-ADM1

    6. 檢閱設定、儲存信賴關係人信任、然後關閉精靈。

      此時會出現「編輯請款核發原則」對話方塊。

    註 如果對話方塊未出現、請以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。
  6. 若要啟動「請款規則」精靈、請按一下*「新增規則*」:

    1. 在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後按一下* Next*(下一步)。

    2. 在「設定規則」頁面上、輸入此規則的顯示名稱。

      例如、* ObjectGuid至Name ID*。

    3. 針對屬性存放區、選取* Active Directory *。

    4. 在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。

    5. 在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。

    6. 按一下「完成」、然後按一下「確定」。

  7. 在依賴方信任上按一下滑鼠右鍵、開啟其內容。

  8. 在「端點」索引標籤上、設定單一登出(SLO)的端點:

    1. 單擊* Add SAML(添加SAML)*。

    2. 選擇*端點類型*>* SAML登出*。

    3. 選擇* Binding(綁定)* Redirect(重定向*)。

    4. 在「信任的URL」欄位中、輸入此管理節點用於單一登出(SLO)的URL:

      https://Admin_Node_FQDN/api/saml-logout

    適用於 `Admin_Node_FQDN`下、輸入管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

    1. 按一下「確定」。

  9. 在*簽名*索引標籤上、指定此信賴憑證方信任的簽名證書:

    1. 新增自訂憑證:

      • 如果您有上傳至StorageGRID 該功能的自訂管理憑證、請選取該憑證。

      • 如果您沒有自訂憑證、請登入管理節點、前往 /var/local/mgmt-api 管理節點的目錄、然後新增 custom-server.crt 憑證檔案:

        *附註:*使用管理節點的預設憑證 (server.crt)不建議使用。如果管理節點故障、當您恢復節點時、將會重新產生預設憑證、您將需要更新依賴方信任。

    2. 按一下「套用」、然後按一下「確定」。

      依賴方屬性會儲存並關閉。

  10. 重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。

  11. 完成後、請返回StorageGRID 到「還原」和 "測試所有依賴方信任" 以確認設定正確。