Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用沙箱模式

貢獻者
PDF

您可以使用沙箱模式來設定及測試依賴方信任的Active Directory Federation Services(AD FS)、然後再為StorageGRID 非使用者強制執行單一登入(SSO)。啟用SSO之後、您可以重新啟用沙箱模式、以設定或測試新的和現有的信賴關係人信任。重新啟用沙箱模式可暫時停用StorageGRID SSO功能以供使用者使用。

您需要的產品

  • 您必須使用支援的瀏覽器登入Grid Manager。

  • 您必須擁有特定的存取權限。

關於這項工作

啟用SSO且使用者嘗試登入管理節點時StorageGRID 、Sin會將驗證要求傳送至AD FS。反過來、AD FS會將驗證回應傳回StorageGRID 至S還原、指出授權要求是否成功。對於成功的要求、回應會包含使用者的通用唯一識別碼(UUID)。

若要讓StorageGRID 驗證(服務供應商)和AD FS(身分識別供應商)能夠安全地就使用者驗證要求進行通訊、您必須在StorageGRID 效益分析中設定某些設定。接下來、您必須使用AD FS為每個管理節點建立信賴關係人信任。最後、您必須返回StorageGRID 到支援SSO的功能。

沙箱模式可讓您在啟用SSO之前、輕鬆執行此後端和後端組態、並測試所有設定。

註 強烈建議使用沙箱模式、但並非嚴格要求。如果您準備好在StorageGRID 將SSO設定為「支援」後立即建立AD FS信賴關係人信任關係、而且您不需要測試每個管理節點的SSO和單一登出(SLO)程序、按一下「已啟用」、輸入StorageGRID 「支援」設定、為AD FS中的每個管理節點建立信賴關係人信任、然後按一下「儲存」以啟用SSO。
步驟

  1. 選擇*組態*存取控制*單一登入*。

    此時將顯示「單一登入」頁面、並選取「停用」選項。

    停用SSO狀態的單一登入頁面
    註 如果未顯示SSO狀態選項、請確認您已將Active Directory設定為聯盟身分識別來源。請參閱「使用單一登入的要求」。

  2. 選取*沙箱模式*選項。

    此時會顯示「身分識別提供者」和「信賴方」設定。在「身分識別提供者」區段中、「服務類型」欄位為唯讀。它會顯示您所使用的身分識別聯盟服務類型(例如Active Directory)。

  3. 在「身分識別提供者」區段中:

    1. 輸入Federation Service名稱、完全如同AD FS中所示。

      註 若要尋找Federation Service名稱、請前往Windows Server Manager。選擇*工具** AD FS管理*。從「動作」功能表中選取*「編輯Federation Service內容」*。Federation Service名稱會顯示在第二個欄位中。

    2. 指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、是否要使用傳輸層安全性(TLS)來保護連線。

      • 使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。

      • 使用自訂CA憑證:使用自訂CA憑證來保護連線安全。

        如果您選取此設定、請複製並貼上「* CA認證*」文字方塊中的認證。

      • 請勿使用TLS:請勿使用TLS憑證來保護連線安全。

  4. 在「依賴方」區段中、指定StorageGRID 當您設定依賴方信任時、將用於「管理員節點」的依賴方識別碼。

    • 例如、如果您的網格只有一個管理節點、而且您預期未來不會新增更多管理節點、請輸入 SGStorageGRID

    • 如果網格包含多個管理節點、請加入字串 [HOSTNAME] 在識別碼中。例如、 SG-[HOSTNAME]。這會根據節點的主機名稱、產生一個表格、其中包含每個管理節點的依賴方識別碼。+附註:您必須為StorageGRID 您的支援系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。

    單一登入

  5. 按一下「 * 儲存 * 」。

    • 儲存」按鈕上會出現綠色勾號幾秒鐘。

      帶有綠色勾號的「儲存」按鈕

    • 此時會出現沙箱模式確認通知、確認沙箱模式已啟用。當您使用AD FS設定每個管理節點的依賴方信任、並測試單一登入(SSO)和單一登出(SLO)程序時、可以使用此模式。

      SSO沙箱模式已啟用
相關資訊

"使用單一登入的需求"