Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

配置 SSO

貢獻者 netapp-lhalbert
PDF

您可以依照設定 SSO 精靈並進入沙盒模式來設定和測試單一登入 (SSO),然後為所有StorageGRID使用者啟用它。啟用 SSO 後,您可以在需要時返回沙盒模式以變更或重新測試配置。

開始之前

  • 您已使用登入 Grid Manager "支援的網頁瀏覽器"

  • 您有"root 存取權限"

  • 您已為StorageGRID 您的整套系統設定身分識別聯盟。

  • 對於身分聯合 LDAP 服務類型,您可以根據計畫使用的 SSO 身分提供者選擇 Active Directory 或 Entra ID。

    已設定的LDAP服務類型 SSO身分識別供應商選項

    Active Directory Federation Service(AD FS)

    • Active Directory

    • 進入 ID

    • PingFedate

    進入 ID

    進入 ID
關於這項工作

啟用SSO且使用者嘗試登入管理節點時StorageGRID 、將驗證要求傳送給SSO身分識別供應商。接著、SSO身分識別供應商會將驗證回應傳回StorageGRID 至原地、指出驗證要求是否成功。對於成功的要求:

  • Active Directory或PingFedate的回應包含使用者的通用唯一識別碼(UUID)。

  • Entra ID 的回應包括使用者主體名稱 (UPN)。

為了允許StorageGRID (服務提供者)和 SSO 身分提供者就使用者身分驗證請求進行安全通信,您需要完成以下任務:

  1. 在StorageGRID中配置設定。

  2. 使用 SSO 身分提供者的軟體為每個管理節點建立依賴方信任 (AD FS)、企業應用程式 (Entra ID) 或服務提供者 (PingFederate)。

  3. 返回StorageGRID以啟用 SSO。

沙盒模式可以輕鬆執行此來回配置,並在啟用 SSO 之前測試所有設定。當您使用沙盒模式時,使用者無法使用 SSO 登入。

存取精靈

步驟

  1. 選擇*設定* > 存取控制 > 單一登入。出現「單一登入」頁面。

    註 如果設定 SSO 設定按鈕已停用,請確認您已將身分提供者設定為聯合身分識別來源。請參閱"單一登入的要求與考量"

  2. 選擇*配置 SSO 設定*。出現提供身分提供者詳細資訊頁面。

提供身份提供者詳細信息

步驟

  1. 從下拉式清單中選取* SSO類型*。

  2. 如果您選擇 Active Directory 作為 SSO 類型,請輸入身分提供者的 聯合驗證服務名稱,與 Active Directory 聯合驗證服務 (AD FS) 中顯示的完全一致。

    註 若要尋找Federation服務名稱、請前往Windows Server Manager。選擇*工具*>* AD FS管理*。從「動作」功能表中選取*「編輯Federation Service內容」*。Federation Service名稱會顯示在第二個欄位中。

  3. 指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、將使用哪些TLS憑證來保護連線安全。

    • 使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。

    • 使用自訂CA憑證:使用自訂CA憑證來保護連線安全。

      如果選取此設定、請複製自訂憑證的文字、然後貼到「* CA認證*」文字方塊中。

    • 請勿使用TLS:請勿使用TLS憑證來保護連線安全。

      警告 如果您變更 CA 憑證、請立即"在管理節點上重新啟動 mgmt-API 服務"在 Grid Manager 中測試成功的 SSO 。

  4. 選擇*繼續*。出現「提供依賴方識別碼」頁面。

提供依賴方標識符

  1. 根據您選擇的 SSO 類型填寫「提供依賴方識別碼」頁面上的欄位。

    Active Directory

    1. 指定StorageGRID的 依賴方識別碼。此值控制您在 AD FS 中為每個信賴方信任所使用的名稱。

      • 例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入 SG`或 `StorageGRID

      • 如果您的網格包含多個管理節點,請包含字串 [HOSTNAME]`在標識符中。例如, `SG-[HOSTNAME] 。包含此字串將產生一個表,該表根據節點的主機名稱顯示網格中每個管理節點的依賴方識別碼。

        註 您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。

    2. 選擇*儲存並進入沙盒模式*。

    進入 ID

    1. 在企業應用程式部分,指定StorageGRID的 企業應用程式名稱。此值控制您在 Entra ID 中為每個企業應用程式使用的名稱。

      • 例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入 SG`或 `StorageGRID

      • 如果您的網格包含多個管理節點,請包含字串 [HOSTNAME]`在標識符中。例如, `SG-[HOSTNAME] 。包含此字串將產生一個表,該表根據節點的主機名稱顯示系統中每個管理節點的企業應用程式名稱。

        註 您必須為StorageGRID 您的系統中的每個管理節點建立企業應用程式。為每個管理節點設定企業應用程式、可確保使用者安全地登入及登出任何管理節點。

    2. 請依照以下步驟操作"在 Entra ID 中建立企業應用程式"為表中列出的每個管理節點建立一個企業應用程式。

    3. 從 Entra ID 複製每個企業應用程式的聯合元資料 URL。然後,將此 URL 貼到StorageGRID中對應的 Federation metadata URL 欄位中。

    4. 複製並貼上所有管理節點的聯合元資料 URL 後,選擇 儲存並進入沙盒模式

    PingFedate

    1. 在「服務供應商(SP)」區段中、指定* SP連線ID* StorageGRID 以供參考。此值可控制您在PingFedate中用於每個SP連線的名稱。

      • 例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入 SG`或 `StorageGRID

      • 如果您的網格包含多個管理節點,請包含字串 [HOSTNAME]`在標識符中。例如, `SG-[HOSTNAME] 。包含此字串將產生一個表,該表根據節點的主機名稱顯示系統中每個管理節點的SP連線 ID。

        註 您必須為StorageGRID 您的系統中的每個管理節點建立SP連線。為每個管理節點建立SP連線、可確保使用者安全地登入及登出任何管理節點。

    2. 在*聯盟中繼資料URL*欄位中、指定每個管理節點的聯盟中繼資料URL。

      請使用下列格式:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    3. 選擇*儲存並進入沙盒模式*。

設定依賴方信任、企業應用程式或SP連線

儲存配置並進入沙盒模式後,您可以完成並測試所選 SSO 類型的配置。

StorageGRID可依需求維持沙盒模式。但是,只有聯合用戶和本地用戶可以登入。

Active Directory
步驟

  1. 移至Active Directory Federation Services(AD FS)。

  2. 使用「設定 SSO」頁面上的表格中顯示的每個依賴方標識符,為StorageGRID建立一個或多個依賴方信任。

    您必須為表格中顯示的每個管理節點建立一個信任關係。

    如需相關指示"在AD FS中建立依賴方信任"、請前往。

進入 ID
步驟

  1. 從您目前登入之管理節點的「單一登入」頁面、選取按鈕以下載並儲存SAML中繼資料。

  2. 然後、針對網格中的任何其他管理節點、重複下列步驟:

    1. 登入節點。

    2. 選擇*設定* > 存取控制 > 單一登入

    3. 下載並儲存該節點的SAML中繼資料。

  3. 前往 Azure 入口網站。

  4. 請依照以下步驟操作"在 Entra ID 中建立企業應用程式"將每個管理節點的 SAML 元資料檔案上傳到其對應的 Entra ID 企業應用程式中。

PingFedate
步驟

  1. 從您目前登入之管理節點的「單一登入」頁面、選取按鈕以下載並儲存SAML中繼資料。

  2. 然後、針對網格中的任何其他管理節點、重複下列步驟:

    1. 登入節點。

    2. 選擇*設定* > 存取控制 > 單一登入

    3. 下載並儲存該節點的SAML中繼資料。

  3. 前往PingFedate。

  4. "建立一個或多個StorageGRID 服務供應商(SP)連線以供使用" 。使用每個管理節點的SP連線 ID(顯示在設定 SSO 頁面上的表格中)以及為該管理節點下載的 SAML 元資料。

    您必須為表中所示的每個管理節點建立一個SP連線。

測試配置

在強制整個StorageGRID系統使用單一登入之前,請確認每個管理節點的單一登入和單一登出均已正確設定。

Active Directory
步驟

  1. 在設定 SSO 頁面上,找到精靈的測試設定步驟上的連結。

    此URL衍生自您在* Federation service name*欄位中輸入的值。

  2. 選取連結、或複製URL並貼到瀏覽器、以存取身分識別供應商的登入頁面。

  3. 若要確認您可以使用SSO登入StorageGRID 支援功能、請選取*登入下列其中一個站台*、選取您主要管理節點的依賴方識別碼、然後選取*登入*。

  4. 輸入您的聯盟使用者名稱和密碼。

    • 如果SSO登入和登出作業成功、就會出現成功訊息。

    • 如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。

  5. 重複這些步驟、驗證網格中每個管理節點的SSO連線。

進入 ID
步驟

  1. 前往Azure入口網站的「單一登入」頁面。

  2. 選擇*測試此應用程式*。

  3. 輸入同盟使用者的認證資料。

    • 如果SSO登入和登出作業成功、就會出現成功訊息。

    • 如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。

  4. 重複這些步驟、驗證網格中每個管理節點的SSO連線。

PingFedate
步驟

  1. 在設定 SSO 頁面中,選擇沙盒模式訊息中的第一個連結。

    一次選取並測試一個連結。

  2. 輸入同盟使用者的認證資料。

    • 如果SSO登入和登出作業成功、就會出現成功訊息。

    • 如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。

  3. 選取下一個連結、驗證網格中每個管理節點的SSO連線。

    如果您看到「頁面過期」訊息、請在瀏覽器中選取「上一步」按鈕、然後重新提交認證資料。

啟用單一登入

當您確認可以使用SSO登入每個管理節點時、您可以為整個StorageGRID 支援系統啟用SSO。

提示 啟用SSO時、所有使用者都必須使用SSO存取Grid Manager、租戶管理程式、Grid Management API及租戶管理API。本機使用者無法再存取StorageGRID 此功能。
步驟

  1. 從設定 SSO 精靈的測試設定步驟中,選擇*啟用 SSO*。

  2. 查看警告訊息,然後選擇*啟用 SSO*。

    單一登入現已啟用。出現「單一登入」頁面,其中現在包含您剛剛設定的 SSO 的詳細資訊。

  3. 若要編輯配置,請選擇*編輯*。

  4. 若要停用單一登錄,請選擇“停用 SSO”。

提示 如果您使用 Azure 門戶,並且從用於存取 Entra ID 的相同電腦存取StorageGRID ,請確保 Azure 入口網站使用者也是授權的StorageGRID使用者(已匯入StorageGRID 的聯合群組中的使用者),或在嘗試登入StorageGRID之前登出 Azure 入口網站。