單一登入的要求和注意事項
建議變更
PDF
在為StorageGRID系統啟用單一登入 (SSO) 之前,請查看要求和注意事項。
身份提供者要求
StorageGRID支援以下 SSO 身分提供者 (IdP):
-
Active Directory 聯合驗證服務 (AD FS)
-
Azure Active Directory (Azure AD)
-
Ping聯邦
您必須先為StorageGRID系統設定身分聯合,然後才能設定 SSO 身分提供者。用於身分聯合的 LDAP 服務類型控制您可以實現哪種類型的 SSO。
| 配置的 LDAP 服務類型 | SSO 身分提供者的選項 |
|---|---|
活動目錄 |
|
Azure |
Azure |
AD FS 要求
您可以使用下列任一版本的 AD FS:
-
Windows Server 2022 AD FS
-
Windows Server 2019 AD FS
-
Windows Server 2016 AD FS
|
Windows Server 2016 應該使用 "KB3201845 更新"或更高。 |
其他要求
-
傳輸層安全性 (TLS) 1.2 或 1.3
-
Microsoft .NET Framework,版本 3.5.1 或更高版本
Azure 的注意事項
如果您使用 Azure 作為 SSO 類型,且使用者的使用者主體名稱不使用 sAMAccountName 作為前綴,則當StorageGRID與 LDAP 伺服器失去連線時,可能會發生登入問題。若要允許使用者登入,您必須恢復與 LDAP 伺服器的連線。
伺服器證書要求
預設情況下, StorageGRID在每個管理節點上使用管理介面憑證來保護對網格管理器、租用戶管理員、網格管理 API 和租用戶管理 API 的存取。為StorageGRID設定信賴方信任 (AD FS)、企業應用程式 (Azure) 或服務供應商連線 (PingFederate) 時,您可以使用伺服器憑證作為StorageGRID請求的簽章憑證。
如果你還沒有"為管理介面配置自訂證書",你現在就應該這麼做。當您安裝自訂伺服器憑證時,它將用於所有管理節點,並且您可以在所有StorageGRID依賴方信任、企業應用程式或SP連線中使用它。
|
|
不建議在依賴方信任、企業應用程式或SP連線中使用管理節點的預設伺服器憑證。如果節點發生故障並且您恢復了它,則會產生新的預設伺服器憑證。在登入復原的節點之前,您必須使用新憑證更新信賴方信任、企業應用程式或SP連線。 |
您可以透過登入節點的命令 shell 並轉到 /var/local/mgmt-api`目錄。自訂伺服器憑證名為 `custom-server.crt。該節點的預設伺服器憑證名為 server.crt。
端口要求
受限的網格管理器或租戶管理器連接埠上不提供單一登入 (SSO)。如果您希望使用者透過單一登入進行驗證,則必須使用預設 HTTPS 連接埠 (443)。看"控制外部防火牆的訪問" 。