本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用身分識別聯盟

貢獻者

使用身分識別聯盟可更快設定群組和使用者、並讓使用者StorageGRID 使用熟悉的認證登入到這個功能。

設定Grid Manager的身分識別聯盟

如果您想要在其他系統(例如Active Directory、Azure Active Directory(Azure AD)、OpenLDAP或Oracle Directory Server)中管理系統管理群組和使用者、可以在Grid Manager中設定身分識別聯盟。

您需要的是 #8217 ;需要的是什麼
  • 您將使用登入Grid Manager 支援的網頁瀏覽器

  • 您擁有特定的存取權限。

  • 您使用Active Directory、Azure AD、OpenLDAP或Oracle Directory Server做為身分識別供應商。

    附註 如果您想使用未列出的LDAP v3服務、請聯絡技術支援部門。
  • 如果您打算使用OpenLDAP、則必須設定OpenLDAP伺服器。請參閱 [Guidelines for configuring an OpenLDAP server]

  • 如果您打算啟用單一登入(SSO)、則已檢閱 使用單一登入的需求

  • 如果您打算使用傳輸層安全性(TLS)與LDAP伺服器進行通訊、則身分識別供應商使用的是TLS 1.2或1.3。請參閱 用於傳出TLS連線的支援密碼

如果您想從其他系統(例如Active Directory、Azure AD、OpenLDAP或Oracle Directory Server)匯入群組、可以設定Grid Manager的身分識別來源。您可以匯入下列群組類型:

  • 管理群組:管理群組中的使用者可以登入Grid Manager、並根據指派給群組的管理權限來執行工作。

  • 租戶使用者群組、適用於不使用自己身分識別來源的租戶。租戶群組中的使用者可以登入租戶管理程式、並根據在租戶管理程式中指派給群組的權限來執行工作。請參閱 建立租戶帳戶使用租戶帳戶 以取得詳細資料。

輸入組態

  1. 選擇*組態*>*存取控制*>*身分識別聯盟*。

  2. 選取*啟用身分識別聯盟*。

  3. 在LDAP服務類型區段中、選取您要設定的LDAP服務類型。

    顯示LDAP服務類型選項的「身分識別聯盟」頁面

    選擇*其他*以設定使用Oracle Directory Server的LDAP伺服器值。

  4. 如果選擇*其他*、請填寫「LDAP屬性」區段中的欄位。否則、請前往下一步。

    • 使用者唯一名稱:含有LDAP使用者唯一識別碼的屬性名稱。此屬性相當於Active Directory的「shamAccountName」和OpenLDAP的「uid」。如果您要設定Oracle Directory Server、請輸入「uid」。

    • *使用者UUID *:含有LDAP使用者永久唯一識別碼的屬性名稱。此屬性相當於Active Directory的「objectGuid」和OpenLDAP的「entryUUID」。如果要配置Oracle Directory Server、請輸入「nssiuniuniid」。指定屬性的每個使用者值必須是16位元組或字串格式的32位數十六進位數字、連字號會被忽略。

    • 群組唯一名稱:包含LDAP群組唯一識別碼的屬性名稱。此屬性相當於Active Directory的「shamAccountName」和OpenLDAP的「CN」。如果您要設定Oracle Directory Server、請輸入「CN」。

    • *群組UUID *:包含LDAP群組永久唯一識別碼的屬性名稱。此屬性相當於Active Directory的「objectGuid」和OpenLDAP的「entryUUID」。如果要配置Oracle Directory Server、請輸入「nssiuniuniid」。指定屬性的每個群組值必須是16位元組或字串格式的32位數十六進位數字、連字號會被忽略。

  5. 對於所有LDAP服務類型、請在「設定LDAP伺服器」區段中輸入所需的LDAP伺服器和網路連線資訊。

    • 主機名稱:LDAP伺服器的完整網域名稱(FQDN)或IP位址。

    • 連接埠:用於連接LDAP伺服器的連接埠。

      附註 STARTTLS的預設連接埠為389、LDAPS的預設連接埠為636。不過、只要防火牆設定正確、您就可以使用任何連接埠。
    • 使用者名稱:將連線至LDAP伺服器之使用者的辨別名稱(DN)完整路徑。

      對於Active Directory、您也可以指定低層級的登入名稱或使用者主要名稱。

      指定的使用者必須擁有列出群組和使用者的權限、並可存取下列屬性:

      • 「AMAccountName」或「uid」

      • "objectGUID"、"entryUUUID"或"nssiuniuniid"

      • 《中國》

      • 「memberof」或「isMemberOf」

      • * Active Directory *:「objectSid」、「primaryGroupID」、「userAccountControl」及「userPrincipalName」

      • * Azure *:「帳戶已啟用」和「userPrincipalName」

    • 密碼:與使用者名稱相關的密碼。

    • 群組基礎DN:您要搜尋群組之LDAP子樹狀結構的辨別名稱(DN)完整路徑。在Active Directory範例(如下)中、識別名稱相對於基礎DN(DC=storagegRID、DC=example、DC=com)的所有群組均可做為聯盟群組使用。

      附註 「群組唯一名稱*」值必須在所屬的*群組基礎DN*中是唯一的。
    • 使用者基礎DN:您要搜尋使用者之LDAP子樹狀目錄的辨別名稱(DN)完整路徑。

      附註 *使用者唯一名稱*值必須在其所屬的*使用者基礎DN*內是唯一的。
    • 連結使用者名稱格式(選用):如果StorageGRID 無法自動判斷模式、則應使用預設的使用者名稱模式。

      建議提供*連結使用者名稱格式*、因為StorageGRID 如果無法連結服務帳戶、使用者可以登入。

      輸入下列其中一種模式:

      • 使用者主體名稱模式(Active Directory和Azure):「[username]@example.com」

      • 低層級登入名稱模式(Active Directory和Azure):「example\[username]」

      • 辨別名稱模式:「CN=[username]、CN=Users、DC=examends、DC=com」

        請準確附上所寫的*(使用者名稱)*。

  6. 在傳輸層安全性(TLS)區段中、選取安全性設定。

    • 使用ARTTLS:使用ARTTLS來保護與LDAP伺服器的通訊安全。這是Active Directory、OpenLDAP或其他的建議選項、但Azure不支援此選項。

    • 使用LDAPS:LDAPS(LDAP over SSL)選項使用TLS建立與LDAP伺服器的連線。您必須為Azure選取此選項。

    • 請勿使用TLS:StorageGRID 不保護介於整個系統與LDAP伺服器之間的網路流量。Azure不支援此選項。

      附註 如果Active Directory伺服器強制執行LDAP簽署、則不支援使用*「不使用TLS*」選項。您必須使用ARTTLS或LDAPS。
  7. 如果您選取了ARTTLS或LDAPS、請選擇用來保護連線安全的憑證。

    • 使用作業系統CA憑證:使用作業系統上安裝的預設Grid CA憑證來保護連線安全。

    • 使用自訂CA憑證:使用自訂安全性憑證。

      如果選取此設定、請將自訂安全性憑證複製並貼到CA憑證文字方塊中。

測試連線並儲存組態

輸入所有值之後、您必須先測試連線、才能儲存組態。如果您提供LDAP伺服器的連線設定和連結使用者名稱格式、則可透過此驗證。StorageGRID

  1. 選擇*測試連線*。

  2. 如果您未提供連結使用者名稱格式:

    • 如果連線設定有效、則會出現「Test connection Successful(測試連線成功)」訊息。選取*「Save(儲存)」*以儲存組態。

    • 如果連線設定無效、則會出現「test connection Could not be connection…​(無法建立測試連線)」訊息。選擇*關閉*。然後、解決所有問題、並再次測試連線。

  3. 如果您提供連結使用者名稱格式、請輸入有效同盟使用者的使用者名稱和密碼。

    例如、輸入您自己的使用者名稱和密碼。請勿在使用者名稱中包含任何特殊字元、例如@或/。

    驗證繫結使用者名稱格式的身分識別聯盟提示
    • 如果連線設定有效、則會出現「Test connection Successful(測試連線成功)」訊息。選取*「Save(儲存)」*以儲存組態。

    • 如果連線設定、連結使用者名稱格式或測試使用者名稱和密碼無效、則會出現錯誤訊息。解決所有問題、然後再次測試連線。

強制與身分識別來源同步

此系統會定期同步來自身分識別來源的聯盟群組和使用者。StorageGRID如果您想要盡快啟用或限制使用者權限、可以強制啟動同步。

步驟
  1. 前往「身分識別聯盟」頁面。

  2. 選取頁面頂端的*同步伺服器*。

    視您的環境而定、同步處理程序可能需要一些時間。

    附註 如果同步處理來自身分識別來源的聯盟群組和使用者時發生問題、則會觸發*身分識別聯盟同步處理失敗*警示。

停用身分識別聯盟

您可以暫時或永久停用群組和使用者的身分識別聯盟。停用身分識別聯盟時StorageGRID 、不會在驗證和身分識別來源之間進行通訊。不過、您已設定的任何設定都會保留下來、讓您日後可以輕鬆重新啟用身分識別聯盟。

在停用身分識別聯盟之前、您應注意下列事項:

  • 聯盟使用者將無法登入。

  • 目前已登入的聯盟使用者將在StorageGRID 其工作階段過期之前保留對此系統的存取權、但在工作階段過期後仍無法登入。

  • 不會在不同步系統與身分識別來源之間進行同步、StorageGRID 也不會針對尚未同步的帳戶發出警示或警示。

  • 如果單一登入(SSO)設定為*已啟用*或*沙箱模式*、則「啟用身分聯盟」核取方塊會停用。「單一登入」頁面的SSO狀態必須為*停用*、才能停用身分識別聯盟。請參閱 停用單一登入

步驟
  1. 前往「身分識別聯盟」頁面。

  2. 取消核取「啟用身分識別聯盟」核取方塊。

設定OpenLDAP伺服器的準則

如果您要使用OpenLDAP伺服器進行身分識別聯盟、則必須在OpenLDAP伺服器上設定特定設定。

重要 對於非ActiveDirectory或Azure的身分識別來源、StorageGRID 無法自動封鎖S3存取外部停用的使用者。若要封鎖S3存取、請刪除使用者的任何S3金鑰、並將使用者從所有群組中移除。

memberOf和refert覆疊

應啟用memberof和refert覆疊。如需詳細資訊、請參閱中的反轉群組成員資格維護指示http://www.openldap.org/doc/admin24/index.html["OpenLDAP文件:2.4版管理員指南"^]。

索引

您必須使用指定的索引關鍵字來設定下列OpenLDAP屬性:

  • 「olcDbIndex:objectClass eq」

  • 「olcDbIndex:UID eq、pres、sub」

  • 「olcDbIndex:cN eq、pres、sub」

  • 「olcDbIndex:entryUUID eq」

此外、請確定使用者名稱說明中所述的欄位已建立索引、以獲得最佳效能。

請參閱中有關反轉群組成員資格維護的資訊http://www.openldap.org/doc/admin24/index.html["OpenLDAP文件:2.4版管理員指南"^]。