本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在PingFedate中建立服務供應商(SP)連線

您可以使用PingFedate為系統中的每個管理節點建立服務供應商(SP)連線。為了加速程序、您將從StorageGRID S倚賴 者處匯入SAML中繼資料。

您需要的是 #8217 ;需要的是什麼
  • 您已設定StorageGRID 單一登入以供使用、並選擇* Ping federate*作為SSO類型。

  • 在Grid Manager的「單一登入」頁面上選取「沙箱模式」。請參閱 使用沙箱模式

  • 您的系統中每個管理節點都有* SP連線ID*。您可以在StorageGRID 「管理員節點詳細資料」表的「單個登入」頁面上找到這些值。

  • 您已下載系統中每個管理節點的* SAML中繼資料*。

  • 您在PingFedate伺服器上建立SP連線的經驗豐富。

  • 您擁有https://docs.pingidentity.com/bundle/pingfederate-103/page/kfj1564002962494.html["系統管理員參考指南"^] 適用於PingFedate伺服器。PingFedate文件提供詳細的逐步指示和說明。

  • 您擁有PingFedate伺服器的管理權限。

以下說明概述如何將PingFedate Server版本10.3設定為StorageGRID SSO供應商以供支援。如果您使用的是另一個版本的PingFedate、您可能需要調整這些指示。請參閱PingFedate伺服器文件、以取得版本的詳細指示。

完整的PingFedate必備條件

在建立要用於StorageGRID 觀賞的SP連線之前、您必須先在PingFederate完成必要的工作。設定SP連線時、您將會使用這些必要條件的資訊。

建立資料儲存區

如果您尚未建立資料存放區、請建立資料存放區、將PingFedate連線至AD FS LDAP伺服器。使用您使用的值 設定身分識別聯盟 在StorageGRID

  • 類型:目錄(LDAP)

  • * LDAP類型*:Active Directory

  • 二進位屬性名稱:在LDAP二進位屬性索引標籤上輸入* objectGUID*、完全如圖所示。

建立密碼認證驗證程式

如果您還沒有、請建立密碼認證驗證程式。

  • 類型:LDAP使用者名稱密碼認證驗證程式

  • 資料儲存區:選取您建立的資料儲存區。

  • 搜尋基礎:輸入LDAP的資訊(例如:DC=SAML、DC=sgws)。

  • 搜尋篩選器:SamAccountName=${userName}

  • 範圍:子樹狀結構

建立IDP介面卡執行個體

如果您尚未建立IDP介面卡執行個體、請建立一個IDP介面卡執行個體。

  1. 轉至*驗證*>*整合*>* IDP介面卡*。

  2. 選擇* Create New Instance*(創建新實例*)。

  3. 在類型索引標籤上、選取* HTML表單IDP介面卡*。

  4. 在IDP介面卡索引標籤上、選取*新增一列至「認證驗證程式」*。

  5. 選取 密碼認證驗證工具 您已建立。

  6. 在Adapter Attributes*(適配器屬性)選項卡上,選擇* pseudonyation*的* username*屬性。

  7. 選擇*保存*。

建立或匯入簽署憑證

如果您尚未建立簽署憑證、請建立或匯入簽署憑證。

  1. 請前往*安全*>*簽署與解密金鑰與憑證*。

  2. 建立或匯入簽署憑證。

在PingFedate建立SP連線

當您在PingFedate建立SP連線時、會將從StorageGRID 支援管理節點的支援節點下載的SAML中繼資料匯入。中繼資料檔案包含許多您需要的特定值。

重要 您必須為StorageGRID 您的支援系統中的每個管理節點建立SP連線、以便使用者安全地登入和登出任何節點。請依照下列指示建立第一個SP連線。然後前往 [Create additional SP connections] 建立所需的任何其他連線。

選擇SP連線類型

  1. 請參訪*應用程式*>*整合*>* SP連線*。

  2. 選取*建立連線*。

  3. 選擇*不要使用範本進行此連線*。

  4. 選擇*瀏覽器SSO設定檔*和* SAML 2.0*作為傳輸協定。

匯入SP中繼資料

  1. 在匯入中繼資料索引標籤上、選取*檔案*。

  2. 從StorageGRID 「管理節點的「支援單一登入」頁面下載的SAML中繼資料檔案。

  3. 檢閱中繼資料摘要和一般資訊索引標籤上的資訊。

    合作夥伴的實體ID和連線名稱均設定StorageGRID 為整套SP連線ID。(例如10.96105.200-DC1-ADM1-105-200)。基礎URL是StorageGRID 指「物件管理節點」的IP。

  4. 選擇*下一步*。

設定IDP瀏覽器SSO

  1. 從瀏覽器SSO索引標籤、選取*設定瀏覽器SSSSO *。

  2. 在「SAML設定檔」索引標籤上、選取「* SP啟動的SSO*」、「* SP初始SLO*」、「* IDP啟動的SSO*」和「* IDP啟動的SLO*」選項。

  3. 選擇*下一步*。

  4. 在Assertion壽命索引標籤上、不做任何變更。

  5. 在Assertion Creation(聲明創建)選項卡上,選擇* Configure Assertion creation (配置聲明創建)。

    1. 在「身分識別對應」索引標籤上、選取「標準」。

    2. 在「屬性合約」索引標籤上、使用* SAML Subject *做為「屬性合約」、以及匯入的未指定名稱格式。

  6. 若要延長合約、請選取*刪除*以移除「urn:oid」、這是未使用的項目。

對應介面卡執行個體

  1. 在驗證來源對應索引標籤上、選取*對應新介面卡執行個體*。

  2. 在介面卡執行個體索引標籤上、選取 介面卡執行個體 您已建立。

  3. 在「對應方法」索引標籤上、選取*從資料儲存區擷取其他屬性*。

  4. 在「屬性來源與使用者查詢」索引標籤上、選取「新增屬性來源」。

  5. 在「Data Store(資料儲存區)」索引標籤上、提供說明並選取 資料儲存區 您已新增。

  6. 在LDAP目錄搜尋索引標籤上:

    • 輸入*基礎DN*、此DN應與StorageGRID 您在知識庫中輸入的LDAP伺服器值完全相符。

    • 在搜尋範圍中、選取* Subtree *。

    • 對於根物件類別、請搜尋*物件GUID*屬性並加以新增。

  7. 在LDAP二進位屬性編碼類型索引標籤上、針對* objectGUID*屬性選取* Base64*。

  8. 在LDAP Filter(LDAP篩選器)索引標籤上、輸入* sAMAccountName=${userName}*。

  9. 在「屬性合約履行」索引標籤上、從「來源」下拉式清單中選取「* LDAP(屬性)」、然後從「值」下拉式清單中選取「」objectGUID*。

  10. 檢閱並儲存屬性來源。

  11. 在「故障儲存屬性來源」索引標籤上、選取*中止SSO交易*。

  12. 檢閱摘要、然後選取*「完成」*。

  13. 選擇*完成*。

設定傳輸協定設定

  1. 在* SP Connection*>*瀏覽器SSSSO >*傳輸協定設定*索引標籤上、選取*設定傳輸協定設定

  2. 在Assertion Consumer Service URL(聲明消費者服務URL)索引標籤上、接受從StorageGRID 支援SAML中繼資料(* POST *用於繫結、而「/API/SAML-RESPONSE」用於端點URL)匯入的預設值。

  3. 在「SLO服務URL」索引標籤上、接受從StorageGRID 「物件SAML中繼資料」(「連結的*重新導向*」和「端點URL的「/API/SAML-logout」)匯入的預設值。

  4. 在允許的SAML繫結索引標籤上、取消選取*雜訊*和* SOAP*。只需要* POST 和*重新導向

  5. 在「簽章原則」索引標籤上、勾選「需要簽署驗證要求*」和「永遠簽署聲明」核取方塊。

  6. 在加密原則索引標籤上、選取*無*。

  7. 檢閱摘要並選取*完成*以儲存傳輸協定設定。

  8. 檢閱摘要並選取*完成*以儲存瀏覽器SSO設定。

設定認證資料

  1. 從SP連線索引標籤、選取*認證*。

  2. 從「認證」標籤中、選取*「設定認證」*。

  3. 選取 簽署憑證 您已建立或匯入。

  4. 選擇*下一步*以前往*管理簽名驗證設定*。

    1. 在信任模式索引標籤上、選取*未鎖定*。

    2. 在「簽名驗證憑證」索引標籤上、檢閱從StorageGRID 「支援SAML」中繼資料匯入的簽署憑證資訊。

  5. 檢閱摘要畫面、然後選取*「Save"(儲存)以儲存SP連線。

建立其他SP連線

您可以複製第一個SP連線、為網格中的每個管理節點建立所需的SP連線。您上傳每個複本的新中繼資料。

附註 不同管理節點的SP連線使用相同的設定、但合作夥伴的實體ID、基礎URL、連線ID、連線名稱、簽名驗證、 和SLO回應URL。
  1. 選擇* Action">* Copy*、為每個額外的管理節點建立初始SP連線的複本。

  2. 輸入複本的「連線ID」和「連線名稱」、然後選取*「儲存*」。

  3. 選擇對應至管理節點的中繼資料檔案:

    1. 選擇* Action">* Update with中繼資料*。

    2. 選擇*選擇「檔案」*並上傳中繼資料。

    3. 選擇*下一步*。

    4. 選擇*保存*。

  4. 解決由於未使用屬性而導致的錯誤:

    1. 選取新連線。

    2. 選取*設定瀏覽器SSO >設定宣告建立>屬性合約*。

    3. 刪除* urn:OID*的項目。

    4. 選擇*保存*。