使用沙箱模式
- 此文件 PDF 的網站
個別的 PDF 文件集合
Creating your file...
您可以使用沙箱模式來設定及測試依賴方信任的Active Directory Federation Services(AD FS)、然後再為StorageGRID 非使用者強制執行單一登入(SSO)。啟用SSO之後、您可以重新啟用沙箱模式、以設定或測試新的和現有的信賴關係人信任。重新啟用沙箱模式可暫時停用StorageGRID SSO功能以供使用者使用。
-
您必須使用支援的瀏覽器登入Grid Manager。
-
您必須擁有特定的存取權限。
啟用SSO且使用者嘗試登入管理節點時StorageGRID 、Sin會將驗證要求傳送至AD FS。反過來、AD FS會將驗證回應傳回StorageGRID 至S還原、指出授權要求是否成功。對於成功的要求、回應會包含使用者的通用唯一識別碼(UUID)。
若要讓StorageGRID 驗證(服務供應商)和AD FS(身分識別供應商)能夠安全地就使用者驗證要求進行通訊、您必須在StorageGRID 效益分析中設定某些設定。接下來、您必須使用AD FS為每個管理節點建立信賴關係人信任。最後、您必須返回StorageGRID 到支援SSO的功能。
沙箱模式可讓您在啟用SSO之前、輕鬆執行此後端和後端組態、並測試所有設定。
強烈建議使用沙箱模式、但並非嚴格要求。如果您準備好在StorageGRID 將SSO設定為「支援」後立即建立AD FS信賴關係人信任關係、而且您不需要測試每個管理節點的SSO和單一登出(SLO)程序、按一下「已啟用」、輸入StorageGRID 「支援」設定、為AD FS中的每個管理節點建立信賴關係人信任、然後按一下「儲存」以啟用SSO。 |
-
選擇*組態*存取控制*單一登入*。
此時將顯示「單一登入」頁面、並選取「停用」選項。
如果未顯示SSO狀態選項、請確認您已將Active Directory設定為聯盟身分識別來源。請參閱「使用單一登入的要求」。 -
選取*沙箱模式*選項。
此時會顯示「身分識別提供者」和「信賴方」設定。在「身分識別提供者」區段中、「服務類型」欄位為唯讀。它會顯示您所使用的身分識別聯盟服務類型(例如Active Directory)。
-
在「身分識別提供者」區段中:
-
輸入Federation Service名稱、完全如同AD FS中所示。
若要尋找Federation Service名稱、請前往Windows Server Manager。選擇*工具** AD FS管理*。從「動作」功能表中選取*「編輯Federation Service內容」*。Federation Service名稱會顯示在第二個欄位中。 -
指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、是否要使用傳輸層安全性(TLS)來保護連線。
-
使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。
-
使用自訂CA憑證:使用自訂CA憑證來保護連線安全。
如果您選取此設定、請複製並貼上「* CA認證*」文字方塊中的認證。
-
請勿使用TLS:請勿使用TLS憑證來保護連線安全。
-
-
-
在「依賴方」區段中、指定StorageGRID 當您設定依賴方信任時、將用於「管理員節點」的依賴方識別碼。
-
例如、如果您的網格只有一個管理節點、而且您預期未來不會新增更多管理節點、請輸入
SG
或StorageGRID
。 -
如果網格包含多個管理節點、請加入字串
[HOSTNAME]
在識別碼中。例如、SG-[HOSTNAME]
。這會根據節點的主機名稱、產生一個表格、其中包含每個管理節點的依賴方識別碼。+附註:您必須為StorageGRID 您的支援系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。
-
-
按一下「 * 儲存 * 」。
-
「儲存」按鈕上會出現綠色勾號幾秒鐘。
-
此時會出現沙箱模式確認通知、確認沙箱模式已啟用。當您使用AD FS設定每個管理節點的依賴方信任、並測試單一登入(SSO)和單一登出(SLO)程序時、可以使用此模式。
-