Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 AD FS 中創造信賴方信任

PDF

您必須使用 Active Directory 聯合驗證服務 (AD FS) 為系統中的每個管理節點建立信賴方信任。您可以使用 PowerShell 指令、透過從StorageGRID匯入 SAML 元資料或手動輸入資料來建立信賴方信任。

開始之前

  • 您已為StorageGRID設定單一登入,並選擇 AD FS 作為 SSO 類型。

  • 在網格管理員的單一登入頁面上選擇了*沙盒模式*。看"使用沙盒模式"

  • 您知道系統中每個管理節點的完全限定網域名稱(或 IP 位址)和信賴方識別碼。您可以在StorageGRID單一登入頁面上的管理節點詳細資料表中找到這些值。

    註 您必須為StorageGRID系統中的每個管理節點建立一個依賴方信任。每個管理節點都擁有依賴方信任,確保使用者可以安全地登入和登出任何管理節點。

  • 您具有在 AD FS 中建立信任方信任的經驗,或者您可以存取 Microsoft AD FS 文件。

  • 您正在使用 AD FS 管理管理單元,並且您屬於管理員群組。

  • 如果您手動建立依賴方信任,則您擁有為StorageGRID管理介面上傳的自訂證書,或者您知道如何從命令 shell 登入管理節點。

關於此任務

這些說明適用於 Windows Server 2016 AD FS。如果您使用的是不同版本的 AD FS,您會注意到過程中略有不同。如果您有任何疑問,請參閱 Microsoft AD FS 文件。

使用 Windows PowerShell 建立信賴方信任

您可以使用 Windows PowerShell 快速建立一個或多個信賴方信任。

步驟

  1. 從 Windows 開始功能表中,右鍵單擊選擇 PowerShell 圖標,然後選擇*以管理員身份執行*。

  2. 在 PowerShell 命令提示字元下,輸入以下命令:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • 為了 Admin_Node_Identifier,輸入管理節點的依賴方標識符,與單一登入頁面上顯示的完全一致。例如, SG-DC1-ADM1

    • 為了 Admin_Node_FQDN,輸入同一管理節點的完全限定網域名稱。 (如有必要,您可以使用節點的 IP 位址。但是,如果您在此處輸入 IP 位址,請注意,如果該 IP 位址發生變化,則必須更新或重新建立此信賴方信任。 )

  3. 從 Windows 伺服器管理員中,選擇「工具」>「AD FS 管理」。

    出現 AD FS 管理工具。

  4. 選擇 AD FS > 依賴方信任

    出現依賴方信任的清單。

  5. 在新建立的依賴方信任中新增存取控制策略:

    1. 找到您剛剛創建的信任方信任。

    2. 右鍵單擊信任,然後選擇“編輯存取控制策略”。

    3. 選擇存取控制策略。

    4. 選擇“應用”,然後選擇“確定”

  6. 在新建立的依賴方信任中新增聲明發布策略:

    1. 找到您剛剛創建的信任方信任。

    2. 右鍵點選信託,然後選擇「編輯索賠頒發政策」。

    3. 選擇*新增規則*。

    4. 在選擇規則範本頁面上,從清單中選擇*將 LDAP 屬性傳送為聲明*,然後選擇*下一步*。

    5. 在設定規則頁面上,輸入此規則的顯示名稱。

      例如,ObjectGUID 到名稱 IDUPN 到名稱 ID

    6. 對於屬性存儲,選擇*Active Directory*。

    7. 在映射表的 LDAP 屬性列中,鍵入 objectGUID 或選擇 User-Principal-Name

    8. 在映射表的傳出聲明類型列中,從下拉清單中選擇*名稱 ID*。

    9. 選擇“完成”,然後選擇“確定”。

  7. 確認元資料已成功導入。

    1. 右鍵單擊信賴方信任以開啟其屬性。

    2. 確認「Endpoints」、「Identifiers」和「Signature」標籤上的欄位已填入。

      如果缺少元數據,請確認聯邦元數據地址是否正確,或手動輸入值。

  8. 重複這些步驟,為StorageGRID系統中的所有管理節點配置依賴方信任。

  9. 完成後,返回StorageGRID並測試所有依賴方信任以確認它們配置正確。看"使用沙盒模式"以取得說明。

透過匯入聯合元資料創建信賴方信任

您可以透過存取每個管理節點的 SAML 元資料來匯入每個依賴方信任的值。

步驟

  1. 在 Windows 伺服器管理員中,選擇“工具”,然後選擇“AD FS 管理”。

  2. 在操作下,選擇*新增依賴方信任*。

  3. 在歡迎頁面上,選擇*索賠意識*,然後選擇*開始*。

  4. 選擇*匯入線上或本機網路上發佈的有關依賴方的資料*。

  5. 聯合元資料位址(主機名稱或 URL) 中,鍵入此管理節點的 SAML 元資料的位置:

    https://Admin_Node_FQDN/api/saml-metadata

    為了 Admin_Node_FQDN,輸入同一管理節點的完全限定網域名稱。 (如有必要,您可以使用節點的 IP 位址。但是,如果您在此處輸入 IP 位址,請注意,如果該 IP 位址發生變化,則必須更新或重新建立此信賴方信任。 )

  6. 完成依賴方信任嚮導,儲存依賴方信任,然後關閉嚮導。

    註 輸入顯示名稱時,請使用管理節點的依賴方標識符,與網格管理器中的單點登入頁面上顯示的完全一樣。例如, SG-DC1-ADM1

  7. 新增聲明規則:

    1. 右鍵點選信託,然後選擇「編輯索賠頒發政策」。

    2. 選擇*新增規則*:

    3. 在選擇規則範本頁面上,從清單中選擇*將 LDAP 屬性傳送為聲明*,然後選擇*下一步*。

    4. 在設定規則頁面上,輸入此規則的顯示名稱。

      例如,ObjectGUID 到名稱 IDUPN 到名稱 ID

    5. 對於屬性存儲,選擇*Active Directory*。

    6. 在映射表的 LDAP 屬性列中,鍵入 objectGUID 或選擇 User-Principal-Name

    7. 在映射表的傳出聲明類型列中,從下拉清單中選擇*名稱 ID*。

    8. 選擇“完成”,然後選擇“確定”。

  8. 確認元資料已成功導入。

    1. 右鍵單擊信賴方信任以開啟其屬性。

    2. 確認「Endpoints」、「Identifiers」和「Signature」標籤上的欄位已填入。

      如果缺少元數據,請確認聯邦元數據地址是否正確,或手動輸入值。

  9. 重複這些步驟,為StorageGRID系統中的所有管理節點配置依賴方信任。

  10. 完成後,返回StorageGRID並測試所有依賴方信任以確認它們配置正確。看"使用沙盒模式"以取得說明。

手動創建信賴方信任

如果您選擇不匯入依賴部分信託的數據,您可以手動輸入值。

步驟

  1. 在 Windows 伺服器管理員中,選擇“工具”,然後選擇“AD FS 管理”。

  2. 在操作下,選擇*新增依賴方信任*。

  3. 在歡迎頁面上,選擇*索賠意識*,然後選擇*開始*。

  4. 選擇*手動輸入依賴方的資料*,然後選擇*下一步*。

  5. 完成依賴方信任嚮導:

    1. 輸入此管理節點的顯示名稱。

      為了保持一致性,請使用管理節點的依賴方標識符,與網格管理器中的單點登入頁面上顯示的完全一樣。例如, SG-DC1-ADM1

    2. 跳過配置可選令牌加密憑證的步驟。

    3. 在設定 URL 頁面上,選取 啟用對 SAML 2.0 WebSSO 協定的支援 複選框。

    4. 輸入管理節點的 SAML 服務端點 URL:

      https://Admin_Node_FQDN/api/saml-response

      為了 `Admin_Node_FQDN`中,輸入管理節點的完全限定網域名稱。 (如有必要,您可以使用節點的 IP 位址。但是,如果您在此處輸入 IP 位址,請注意,如果該 IP 位址發生變化,則必須更新或重新建立此信賴方信任。 )

    5. 在設定標識符頁面上,為同一個管理節點指定依賴方識別碼:

      Admin_Node_Identifier

      為了 Admin_Node_Identifier,輸入管理節點的依賴方標識符,與單一登入頁面上顯示的完全一致。例如, SG-DC1-ADM1

    6. 檢查設置,儲存信賴方信任,然後關閉精靈。

      出現「編輯索賠簽發政策」對話框。

    註 如果未出現對話框,請右鍵點選信任,然後選擇「編輯聲明頒發政策」。

  6. 若要啟動聲明規則精靈,請選擇*新增規則*:

    1. 在選擇規則範本頁面上,從清單中選擇*將 LDAP 屬性傳送為聲明*,然後選擇*下一步*。

    2. 在設定規則頁面上,輸入此規則的顯示名稱。

      例如,ObjectGUID 到名稱 IDUPN 到名稱 ID

    3. 對於屬性存儲,選擇*Active Directory*。

    4. 在映射表的 LDAP 屬性列中,鍵入 objectGUID 或選擇 User-Principal-Name

    5. 在映射表的傳出聲明類型列中,從下拉清單中選擇*名稱 ID*。

    6. 選擇“完成”,然後選擇“確定”。

  7. 右鍵單擊信賴方信任以開啟其屬性。

  8. 在「端點」標籤上,設定單點登出 (SLO) 的端點:

    1. 選擇“新增 SAML”。

    2. 選擇*端點類型* > SAML 登出

    3. 選擇*綁定* > 重定向

    4. 在「可信任 URL」欄位中,輸入用於從此管理節點單點登出 (SLO) 的 URL:

      https://Admin_Node_FQDN/api/saml-logout

    為了 `Admin_Node_FQDN`中,輸入管理節點的完全限定網域名稱。 (如有必要,您可以使用節點的 IP 位址。但是,如果您在此處輸入 IP 位址,請注意,如果該 IP 位址發生變化,則必須更新或重新建立此信賴方信任。 )

    1. 選擇“確定”。

  9. 在「簽署」標籤上,指定此信賴方信任的簽章憑證:

    1. 新增自訂憑證:

      • 如果您有上傳到StorageGRID 的自訂管理證書,請選擇該證書。

      • 如果您沒有自訂證書,請登入管理節點,前往 `/var/local/mgmt-api`管理節點的目錄,並且加入 `custom-server.crt`證書文件。

        註 使用管理節點的預設證書(server.crt) 是不推薦的。如果管理節點發生故障,則恢復節點時將重新產生預設證書,並且您需要更新信賴方信任。

    2. 選擇“應用”,然後選擇“確定”。

      依賴方屬性已儲存並關閉。

  10. 重複這些步驟,為StorageGRID系統中的所有管理節點配置依賴方信任。

  11. 完成後,返回StorageGRID並測試所有依賴方信任以確認它們配置正確。看"使用沙盒模式"以取得說明。