Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在AD FS中建立依賴方信任

貢獻者
PDF

您必須使用Active Directory Federation Services(AD FS)為系統中的每個管理節點建立信賴關係人信任。您可以使用PowerShell命令、從StorageGRID 支援中心匯入SAML中繼資料、或手動輸入資料、來建立依賴方信任。

您需要的產品

  • 您已設定StorageGRID 單一登入以供使用、並選擇* AD FS*作為SSO類型。

  • 在Grid Manager的「單一登入」頁面上選取「沙箱模式」。請參閱 使用沙箱模式

  • 您知道系統中每個管理節點的完整網域名稱(或IP位址)和依賴方識別碼。您可以在StorageGRID 「管理員節點詳細資料」表的「單個登入」頁面上找到這些值。

    註 您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。

  • 您有在AD FS中建立信賴關係人信任關係的經驗、或是可以存取Microsoft AD FS文件。

  • 您使用的是AD FS管理嵌入式管理單元、屬於「系統管理員」群組。

  • 如果您是手動建立信賴關係人信任關係、則您擁有上傳至StorageGRID 該管理介面的自訂憑證、或者您知道如何從命令Shell登入管理節點。

關於這項工作

這些指示適用於Windows Server 2016 AD FS。如果您使用的是不同版本的AD FS、您會注意到程序上的細微差異。如有任何問題、請參閱Microsoft AD FS文件。

使用Windows PowerShell建立信賴廠商信任

您可以使用Windows PowerShell快速建立一或多個信賴關係人信任。

步驟

  1. 從Windows開始功能表中、以滑鼠右鍵選取PowerShell圖示、然後選取*以系統管理員身分執行*。

  2. 在PowerShell命令提示字元中輸入下列命令:

    「Add-AdfsRelyingPartyTrust -Name「admin_Node_Identer」-Metadata URL "https://Admin_Node_FQDN/api/saml-metadata"`

    • 對於「admin_Node_Identifier」、請輸入管理節點的信賴方識別碼、如同「單一登入」頁面所示。例如「G-DC1-ADM1」。

    • 針對「_admin_Node_FQDN」、輸入相同管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

  3. 從Windows Server Manager中、選取* Tools > AD FS Management *。

    隨即顯示AD FS管理工具。

  4. 選取「* AD FS*>*信賴廠商信任*」。

    此時會出現信賴方信任清單。

  5. 新增存取控制原則至新建立的信賴關係人信任:

    1. 找出您剛建立的信賴關係人。

    2. 在信任上按一下滑鼠右鍵、然後選取*編輯存取控制原則*。

    3. 選取存取控制原則。

    4. 選取*「Apply」(套用)、然後選取「OK」(確定)*

  6. 新增請款核發政策至新建立的信賴方信託:

    1. 找出您剛建立的信賴關係人。

    2. 以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。

    3. 選取*新增規則*。

    4. 在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後選取* Next*(下一步*)。

    5. 在「設定規則」頁面上、輸入此規則的顯示名稱。

      例如、* ObjectGuid至Name ID*。

    6. 針對屬性存放區、選取* Active Directory *。

    7. 在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。

    8. 在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。

    9. 選擇*完成*、然後選擇*確定*。

  7. 確認中繼資料已成功匯入。

    1. 在依賴方信任上按一下滑鼠右鍵、開啟其內容。

    2. 確認已填入*端點*、*識別項*和*簽名*索引標籤上的欄位。

      如果中繼資料遺失、請確認同盟中繼資料位址正確、或只是手動輸入值。

  8. 重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。

  9. 完成後、請返回StorageGRID 「還原」並測試所有信賴關係人的信任、以確認其設定正確。請參閱 使用沙箱模式 以取得相關指示。

透過匯入聯盟中繼資料來建立依賴方信任

您可以存取每個管理節點的SAML中繼資料、以匯入每個信賴方信任的值。

步驟

  1. 在Windows Server Manager中、選取*工具*、然後選取* AD FS管理*。

  2. 在「Actions(動作)」下、選取「* Add S依賴 方Trust(*新增信賴方

  3. 在歡迎頁面上、選擇* Claims感知*、然後選取* Start*。

  4. 選取*匯入線上發佈的依賴方相關資料、或是本機網路上的相關資料*。

  5. 在*聯盟中繼資料位址(主機名稱或URL)*中、輸入此管理節點的SAML中繼資料位置:

    https://Admin_Node_FQDN/api/saml-metadata`

    針對「_admin_Node_FQDN」、輸入相同管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

  6. 完成「信賴方信任」精靈、儲存信賴方信任、然後關閉精靈。

    註 輸入顯示名稱時、請使用管理節點的信賴方識別碼、如同網格管理器的「單一登入」頁面上所顯示的一樣。例如「G-DC1-ADM1」。

  7. 新增報銷規則:

    1. 以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。

    2. 選擇*新增規則*:

    3. 在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後選取* Next*(下一步*)。

    4. 在「設定規則」頁面上、輸入此規則的顯示名稱。

      例如、* ObjectGuid至Name ID*。

    5. 針對屬性存放區、選取* Active Directory *。

    6. 在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。

    7. 在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。

    8. 選擇*完成*、然後選擇*確定*。

  8. 確認中繼資料已成功匯入。

    1. 在依賴方信任上按一下滑鼠右鍵、開啟其內容。

    2. 確認已填入*端點*、*識別項*和*簽名*索引標籤上的欄位。

      如果中繼資料遺失、請確認同盟中繼資料位址正確、或只是手動輸入值。

  9. 重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。

  10. 完成後、請返回StorageGRID 「還原」並測試所有信賴關係人的信任、以確認其設定正確。請參閱 使用沙箱模式 以取得相關指示。

手動建立依賴方信任

如果您選擇不匯入依賴零件信任的資料、您可以手動輸入值。

步驟

  1. 在Windows Server Manager中、選取*工具*、然後選取* AD FS管理*。

  2. 在「Actions(動作)」下、選取「* Add S依賴 方Trust(*新增信賴方

  3. 在歡迎頁面上、選擇* Claims感知*、然後選取* Start*。

  4. 選取*手動輸入依賴方的相關資料*、然後選取*下一步*。

  5. 完成信賴廠商信任精靈:

    1. 輸入此管理節點的顯示名稱。

      為確保一致性、請使用管理節點的信賴方識別碼、如同網格管理器的「單一登入」頁面上所顯示的一樣。例如「G-DC1-ADM1」。

    2. 跳過設定選用權杖加密憑證的步驟。

    3. 在「設定URL」頁面上、選取「啟用SAML 2.0 WebSSO傳輸協定的支援」核取方塊。

    4. 輸入管理節點的SAML服務端點URL:

      https://Admin_Node_FQDN/api/saml-response`

      針對「_admin_Node_FQDN」、輸入管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

    5. 在「設定識別碼」頁面上、指定相同管理節點的信賴方識別碼:

      admin_Node_Identifier

      對於「admin_Node_Identifier」、請輸入管理節點的信賴方識別碼、如同「單一登入」頁面所示。例如「G-DC1-ADM1」。

    6. 檢閱設定、儲存信賴關係人信任、然後關閉精靈。

      此時會出現「編輯請款核發原則」對話方塊。

    註 如果對話方塊未出現、請以滑鼠右鍵按一下信任、然後選取*編輯請款簽發原則*。

  6. 若要啟動「請款規則」精靈、請選取*「新增規則*」:

    1. 在Select Rule Template(選擇規則範本)頁面上、從清單中選取* Send LDAP Attributes*(將LDAP屬性傳送為請款)、然後選取* Next*(下一步*)。

    2. 在「設定規則」頁面上、輸入此規則的顯示名稱。

      例如、* ObjectGuid至Name ID*。

    3. 針對屬性存放區、選取* Active Directory *。

    4. 在「對應」表格的「LDAP屬性」欄中、輸入* objectGuID*。

    5. 在「對應」表格的「傳出請款類型」欄中、從下拉式清單中選取*名稱ID*。

    6. 選擇*完成*、然後選擇*確定*。

  7. 在依賴方信任上按一下滑鼠右鍵、開啟其內容。

  8. 在「端點」索引標籤上、設定單一登出(SLO)的端點:

    1. 選擇* Add SAML(添加SAML)*。

    2. 選擇*端點類型*>* SAML登出*。

    3. 選擇* Binding(綁定)* Redirect(重定向*)。

    4. 在「信任的URL」欄位中、輸入此管理節點用於單一登出(SLO)的URL:

      https://Admin_Node_FQDN/api/saml-logout`

    針對「_admin_Node_FQDN」、輸入管理節點的完整網域名稱。(如有必要、您可以改用節點的IP位址。不過、如果您在此輸入IP位址、請注意、如果該IP位址有任何變更、您必須更新或重新建立此信賴關係人信任。)

    1. 選擇*確定*。

  9. 在*簽名*索引標籤上、指定此信賴憑證方信任的簽名證書:

    1. 新增自訂憑證:

      • 如果您有上傳至StorageGRID 該功能的自訂管理憑證、請選取該憑證。

      • 如果您沒有自訂憑證、請登入管理節點、移至管理節點的「/var/local/mgmt-API」目錄、然後新增「custom-server.crt」憑證檔案。

        *注意:*不建議使用管理節點的預設憑證(「Server.crt」)。如果管理節點故障、當您恢復節點時、將會重新產生預設憑證、您將需要更新依賴方信任。

    2. 選取*「Apply」(套用)、然後選取「OK」(確定)*。

      依賴方屬性會儲存並關閉。

  10. 重複這些步驟、為StorageGRID 您的整套系統中的所有管理節點設定依賴方信任。

  11. 完成後、請返回StorageGRID 「還原」並測試所有信賴關係人的信任、以確認其設定正確。請參閱 使用沙箱模式 以取得相關指示。