在AD FS中建立依賴方信任
您必須使用Active Directory Federation Services(AD FS)為系統中的每個管理節點建立信賴關係人信任。您可以使用PowerShell命令、從StorageGRID 支援中心匯入SAML中繼資料、或手動輸入資料、來建立依賴方信任。
使用Windows PowerShell建立信賴廠商信任
您可以使用Windows PowerShell快速建立一或多個信賴關係人信任。
-
您已將SSO設定為StorageGRID 「支援」、而且您知道系統中每個管理節點的完整網域名稱(或IP位址)和依賴方識別碼。
您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。 -
您有在AD FS中建立信賴關係人信任關係的經驗、或是可以存取Microsoft AD FS文件。
-
您使用的是AD FS管理嵌入式管理單元、屬於「系統管理員」群組。
這些指示適用於Windows Server 2016隨附的AD FS 4.0。如果您使用的是Windows 2012 R2隨附的AD FS 3.0、您會注意到程序上的細微差異。如有任何問題、請參閱Microsoft AD FS文件。
-
在Windows開始功能表中、以滑鼠右鍵按一下PowerShell圖示、然後選取*以系統管理員身分執行*。
-
在PowerShell命令提示字元中輸入下列命令:
Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
-
適用於
Admin_Node_Identifier`下、輸入管理節點的信賴方識別碼、完全如同「單一登入」頁面所示。例如、 `SG-DC1-ADM1
。 -
適用於 `Admin_Node_FQDN`下、輸入相同管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)
-
-
從Windows Server Manager中、選取* Tools > AD FS Management *。
隨即顯示AD FS管理工具。
-
選取「* AD FS*>*信賴廠商信任*」。
此時會出現信賴方信任清單。
-
新增存取控制原則至新建立的信賴關係人信任:
-
找出您剛建立的信賴關係人。
-
在信任上按一下滑鼠右鍵、然後選取*編輯存取控制原則*。
-
選取存取控制原則。
-
按一下「套用」、然後按一下「確定」
-
-
新增請款核發政策至新建立的信賴方信託:
-
找出您剛建立的信賴關係人。
-
以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。
-
按一下*新增規則*。
-
在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後按一下* Next*(下一步)。
-
在「設定規則」頁面上、輸入此規則的顯示名稱。
例如、* ObjectGuid至Name ID*。
-
針對屬性存放區、選取* Active Directory *。
-
在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。
-
在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。
-
按一下「完成」、然後按一下「確定」。
-
-
確認中繼資料已成功匯入。
-
在依賴方信任上按一下滑鼠右鍵、開啟其內容。
-
確認已填入*端點*、*識別項*和*簽名*索引標籤上的欄位。
如果中繼資料遺失、請確認同盟中繼資料位址正確、或只是手動輸入值。
-
-
重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。
-
完成後、請返回StorageGRID 到「還原」和 "測試所有依賴方信任" 以確認設定正確。
透過匯入聯盟中繼資料來建立依賴方信任
您可以存取每個管理節點的SAML中繼資料、以匯入每個信賴方信任的值。
-
您已將SSO設定為StorageGRID 「支援」、而且您知道系統中每個管理節點的完整網域名稱(或IP位址)和依賴方識別碼。
您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。 -
您有在AD FS中建立信賴關係人信任關係的經驗、或是可以存取Microsoft AD FS文件。
-
您使用的是AD FS管理嵌入式管理單元、屬於「系統管理員」群組。
這些指示適用於Windows Server 2016隨附的AD FS 4.0。如果您使用的是Windows 2012 R2隨附的AD FS 3.0、您會注意到程序上的細微差異。如有任何問題、請參閱Microsoft AD FS文件。
-
在Windows Server Manager中、按一下*「工具」、然後選取「 AD FS管理*」。
-
在「Actions(動作)」下、按一下「* Add S依賴 方Trust(*新增
-
在歡迎頁面上、選擇* Claims感知*、然後按一下*開始*。
-
選取*匯入線上發佈的依賴方相關資料、或是本機網路上的相關資料*。
-
在*聯盟中繼資料位址(主機名稱或URL)*中、輸入此管理節點的SAML中繼資料位置:
https://Admin_Node_FQDN/api/saml-metadata
適用於 `Admin_Node_FQDN`下、輸入相同管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)
-
完成「信賴方信任」精靈、儲存信賴方信任、然後關閉精靈。
輸入顯示名稱時、請使用管理節點的信賴方識別碼、如同網格管理器的「單一登入」頁面上所顯示的一樣。例如、 SG-DC1-ADM1
。 -
新增報銷規則:
-
以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。
-
按一下*新增規則*:
-
在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後按一下* Next*(下一步)。
-
在「設定規則」頁面上、輸入此規則的顯示名稱。
例如、* ObjectGuid至Name ID*。
-
針對屬性存放區、選取* Active Directory *。
-
在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。
-
在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。
-
按一下「完成」、然後按一下「確定」。
-
-
確認中繼資料已成功匯入。
-
在依賴方信任上按一下滑鼠右鍵、開啟其內容。
-
確認已填入*端點*、*識別項*和*簽名*索引標籤上的欄位。
如果中繼資料遺失、請確認同盟中繼資料位址正確、或只是手動輸入值。
-
-
重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。
-
完成後、請返回StorageGRID 到「還原」和 "測試所有依賴方信任" 以確認設定正確。
手動建立依賴方信任
如果您選擇不匯入依賴零件信任的資料、您可以手動輸入值。
-
您已將SSO設定為StorageGRID 「支援」、而且您知道系統中每個管理節點的完整網域名稱(或IP位址)和依賴方識別碼。
您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。 -
您有上傳的StorageGRID 自訂憑證供您使用、或者您知道如何從命令Shell登入管理節點。
-
您有在AD FS中建立信賴關係人信任關係的經驗、或是可以存取Microsoft AD FS文件。
-
您使用的是AD FS管理嵌入式管理單元、屬於「系統管理員」群組。
這些指示適用於Windows Server 2016隨附的AD FS 4.0。如果您使用的是Windows 2012 R2隨附的AD FS 3.0、您會注意到程序上的細微差異。如有任何問題、請參閱Microsoft AD FS文件。
-
在Windows Server Manager中、按一下*「工具」、然後選取「 AD FS管理*」。
-
在「Actions(動作)」下、按一下「* Add S依賴 方Trust(*新增
-
在歡迎頁面上、選擇* Claims感知*、然後按一下*開始*。
-
選取*手動輸入依賴方的相關資料*、然後按一下*下一步*。
-
完成信賴廠商信任精靈:
-
輸入此管理節點的顯示名稱。
為確保一致性、請使用管理節點的信賴方識別碼、如同網格管理器的「單一登入」頁面上所顯示的一樣。例如、
SG-DC1-ADM1
。 -
跳過設定選用權杖加密憑證的步驟。
-
在「設定URL」頁面上、選取「啟用SAML 2.0 WebSSO傳輸協定的支援」核取方塊。
-
輸入管理節點的SAML服務端點URL:
https://Admin_Node_FQDN/api/saml-response
適用於 `Admin_Node_FQDN`下、輸入管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)
-
在「設定識別碼」頁面上、指定相同管理節點的信賴方識別碼:
Admin_Node_Identifier
適用於
Admin_Node_Identifier`下、輸入管理節點的信賴方識別碼、完全如同「單一登入」頁面所示。例如、 `SG-DC1-ADM1
。 -
檢閱設定、儲存信賴關係人信任、然後關閉精靈。
此時會出現「編輯請款核發原則」對話方塊。
如果對話方塊未出現、請以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。 -
-
若要啟動「請款規則」精靈、請按一下*「新增規則*」:
-
在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後按一下* Next*(下一步)。
-
在「設定規則」頁面上、輸入此規則的顯示名稱。
例如、* ObjectGuid至Name ID*。
-
針對屬性存放區、選取* Active Directory *。
-
在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。
-
在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。
-
按一下「完成」、然後按一下「確定」。
-
-
在依賴方信任上按一下滑鼠右鍵、開啟其內容。
-
在「端點」索引標籤上、設定單一登出(SLO)的端點:
-
單擊* Add SAML(添加SAML)*。
-
選擇*端點類型*>* SAML登出*。
-
選擇* Binding(綁定)* Redirect(重定向*)。
-
在「信任的URL」欄位中、輸入此管理節點用於單一登出(SLO)的URL:
https://Admin_Node_FQDN/api/saml-logout
適用於 `Admin_Node_FQDN`下、輸入管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)
-
按一下「確定」。
-
-
在*簽名*索引標籤上、指定此信賴憑證方信任的簽名證書:
-
新增自訂憑證:
-
如果您有上傳至StorageGRID 該功能的自訂管理憑證、請選取該憑證。
-
如果您沒有自訂憑證、請登入管理節點、前往
/var/local/mgmt-api
管理節點的目錄、然後新增custom-server.crt
憑證檔案:*附註:*使用管理節點的預設憑證 (
server.crt
)不建議使用。如果管理節點故障、當您恢復節點時、將會重新產生預設憑證、您將需要更新依賴方信任。
-
-
按一下「套用」、然後按一下「確定」。
依賴方屬性會儲存並關閉。
-
-
重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。
-
完成後、請返回StorageGRID 到「還原」和 "測試所有依賴方信任" 以確認設定正確。