Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用沙箱模式

貢獻者

您可以使用沙箱模式來設定及測試單一登入(SSO)、然後再為StorageGRID 所有的使用者啟用。啟用SSO之後、您可以在需要變更或重新測試組態時、隨時返回沙箱模式。

開始之前
  • 您已使用登入 Grid Manager "支援的網頁瀏覽器"

  • 您有"root 存取權限"

  • 您已為StorageGRID 您的整套系統設定身分識別聯盟。

  • 若為身分識別聯盟* LDAP服務類型*、您會根據您打算使用的SSO身分識別供應商、選擇Active Directory或Azure。

    已設定的LDAP服務類型 SSO身分識別供應商選項

    Active Directory

    • Active Directory

    • Azure

    • PingFedate

    Azure

    Azure

關於這項工作

啟用SSO且使用者嘗試登入管理節點時StorageGRID 、將驗證要求傳送給SSO身分識別供應商。接著、SSO身分識別供應商會將驗證回應傳回StorageGRID 至原地、指出驗證要求是否成功。對於成功的要求:

  • Active Directory或PingFedate的回應包含使用者的通用唯一識別碼(UUID)。

  • Azure的回應包括使用者主要名稱(UPN)。

若要讓StorageGRID 服務供應商(服務供應商)和SSO身分識別供應商能夠安全地溝通使用者驗證要求、您必須在StorageGRID 支援中心中設定某些設定。接下來、您必須使用SSO身分識別供應商的軟體、為每個管理節點建立信賴方信任(AD FS)、企業應用程式(Azure)或服務供應商(PingFedate)。最後、您必須返回StorageGRID 到支援SSO的功能。

沙箱模式可讓您在啟用SSO之前、輕鬆執行此後端和後端組態、並測試所有設定。使用沙箱模式時、使用者無法使用 SSO 登入。

存取沙箱模式

步驟
  1. 選擇*組態*>*存取控制*>*單一登入*。

    此時將顯示「單一登入」頁面、並選取「停用」選項。

    停用SSO狀態的單一登入頁面
    註 如果 SSO 狀態選項未出現、請確認您已將身分識別提供者設定為同盟身分識別來源。請參閱。 "單一登入的要求與考量"
  2. 選擇* Sandbox Mode*。

    此時會出現「身分識別提供者」區段。

輸入身分識別供應商詳細資料

步驟
  1. 從下拉式清單中選取* SSO類型*。

  2. 根據您選取的SSO類型、填寫「身分識別提供者」區段中的欄位。

    Active Directory
    1. 輸入身分識別提供者的*聯盟服務名稱*、完全如同Active Directory Federation Service(AD FS)中所示。

      註 若要尋找Federation服務名稱、請前往Windows Server Manager。選擇*工具*>* AD FS管理*。從「動作」功能表中選取*「編輯Federation Service內容」*。Federation Service名稱會顯示在第二個欄位中。
    2. 指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、將使用哪些TLS憑證來保護連線安全。

      • 使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。

      • 使用自訂CA憑證:使用自訂CA憑證來保護連線安全。

        如果選取此設定、請複製自訂憑證的文字、然後貼到「* CA認證*」文字方塊中。

      • 請勿使用TLS:請勿使用TLS憑證來保護連線安全。

        警告 如果您變更 CA 憑證、請立即"在管理節點上重新啟動 mgmt-API 服務"在 Grid Manager 中測試成功的 SSO 。
    3. 在「依賴方」區段中、指定* StorageGRID 依賴方識別符號*以供參考。此值可控制AD FS中每個依賴方信任所使用的名稱。

      • 例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入 SG`或 `StorageGRID

      • 如果您的網格包含多個管理節點、請在識別碼中包含字串 [HOSTNAME]。例如 SG-[HOSTNAME]:。這會產生一個表格、根據節點的主機名稱、顯示系統中每個管理節點的依賴方識別碼。

        單一登入
      註 您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。
    4. 選擇*保存*。

      儲存」按鈕上會出現綠色勾號幾秒鐘。

      綠色核取記號的儲存按鈕
    Azure
    1. 指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、將使用哪些TLS憑證來保護連線安全。

      • 使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。

      • 使用自訂CA憑證:使用自訂CA憑證來保護連線安全。

        如果選取此設定、請複製自訂憑證的文字、然後貼到「* CA認證*」文字方塊中。

      • 請勿使用TLS:請勿使用TLS憑證來保護連線安全。

        警告 如果您變更 CA 憑證、請立即"在管理節點上重新啟動 mgmt-API 服務"在 Grid Manager 中測試成功的 SSO 。
    2. 在「企業應用程式」區段中、指定*企業應用程式名稱* StorageGRID 以供參考。此值可控制Azure AD中每個企業應用程式所使用的名稱。

      • 例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入 SG`或 `StorageGRID

      • 如果您的網格包含多個管理節點、請在識別碼中包含字串 [HOSTNAME]。例如 SG-[HOSTNAME]:。這會產生一個表格、根據節點的主機名稱、顯示系統中每個管理節點的企業應用程式名稱。

        單一登入
      註 您必須為StorageGRID 您的系統中的每個管理節點建立企業應用程式。為每個管理節點設定企業應用程式、可確保使用者安全地登入及登出任何管理節點。
    3. 請依照中的步驟"在Azure AD中建立企業應用程式"、為表格中列出的每個管理節點建立企業應用程式。

    4. 從Azure AD複製每個企業應用程式的聯盟中繼資料URL。然後、將此URL貼到StorageGRID 相關的*聯盟中繼資料URL*欄位。

    5. 複製並貼上所有管理節點的聯盟中繼資料URL之後、請選取*儲存*。

      儲存」按鈕上會出現綠色勾號幾秒鐘。

      綠色核取記號的儲存按鈕
    PingFedate
    1. 指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、將使用哪些TLS憑證來保護連線安全。

      • 使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。

      • 使用自訂CA憑證:使用自訂CA憑證來保護連線安全。

        如果選取此設定、請複製自訂憑證的文字、然後貼到「* CA認證*」文字方塊中。

      • 請勿使用TLS:請勿使用TLS憑證來保護連線安全。

        警告 如果您變更 CA 憑證、請立即"在管理節點上重新啟動 mgmt-API 服務"在 Grid Manager 中測試成功的 SSO 。
    2. 在「服務供應商(SP)」區段中、指定* SP連線ID* StorageGRID 以供參考。此值可控制您在PingFedate中用於每個SP連線的名稱。

      • 例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入 SG`或 `StorageGRID

      • 如果您的網格包含多個管理節點、請在識別碼中包含字串 [HOSTNAME]。例如 SG-[HOSTNAME]:。這會根據節點的主機名稱、產生一個表格、顯示系統中每個管理節點的SP連線ID。

        單一登入
      註 您必須為StorageGRID 您的系統中的每個管理節點建立SP連線。為每個管理節點建立SP連線、可確保使用者安全地登入及登出任何管理節點。
    3. 在*聯盟中繼資料URL*欄位中、指定每個管理節點的聯盟中繼資料URL。

      請使用下列格式:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>
    4. 選擇*保存*。

      儲存」按鈕上會出現綠色勾號幾秒鐘。

      綠色核取記號的儲存按鈕

設定依賴方信任、企業應用程式或SP連線

儲存組態時、會出現沙箱模式確認通知。本通知確認沙箱模式已啟用、並提供概觀指示。

根據需要、可將其保留在沙箱模式中。StorageGRID不過、在「單一登入」頁面上選取*沙箱模式*時、所有StorageGRID 的支援項目都會停用SSO功能。只有本機使用者才能登入。

請依照下列步驟設定信賴方信任(Active Directory)、完整企業應用程式(Azure)或設定SP連線(PingFedate)。

Active Directory
步驟
  1. 移至Active Directory Federation Services(AD FS)。

  2. 使用StorageGRID 「僅供單一登入」頁面上表所示的每個信賴方識別碼、建立一或多個可靠方的可靠信任。StorageGRID

    您必須為表格中顯示的每個管理節點建立一個信任關係。

    如需相關指示"在AD FS中建立依賴方信任"、請前往。

Azure
步驟
  1. 從您目前登入之管理節點的「單一登入」頁面、選取按鈕以下載並儲存SAML中繼資料。

  2. 然後、針對網格中的任何其他管理節點、重複下列步驟:

    1. 登入節點。

    2. 選擇*組態*>*存取控制*>*單一登入*。

    3. 下載並儲存該節點的SAML中繼資料。

  3. 前往Azure Portal。

  4. 請依照中的步驟"在Azure AD中建立企業應用程式"、將每個管理節點的 SAML 中繼資料檔案上傳至對應的 Azure 企業應用程式。

PingFedate
步驟
  1. 從您目前登入之管理節點的「單一登入」頁面、選取按鈕以下載並儲存SAML中繼資料。

  2. 然後、針對網格中的任何其他管理節點、重複下列步驟:

    1. 登入節點。

    2. 選擇*組態*>*存取控制*>*單一登入*。

    3. 下載並儲存該節點的SAML中繼資料。

  3. 前往PingFedate。

  4. "建立一個或多個StorageGRID 服務供應商(SP)連線以供使用"。使用每個管理節點的SP連線ID(如StorageGRID 「支援單一登入」頁面表格所示)、以及您為該管理節點下載的SAML中繼資料。

    您必須為表中所示的每個管理節點建立一個SP連線。

測試SSO連線

在您為整個StorageGRID 作業系統強制使用單一登入之前、您應確認已為每個管理節點正確設定單一登入和單一登出。

Active Directory
步驟
  1. 從「功能表單一登入」頁面、找到沙箱模式訊息中的連結。StorageGRID

    此URL衍生自您在* Federation service name*欄位中輸入的值。

    身分識別供應商登入頁面的URL
  2. 選取連結、或複製URL並貼到瀏覽器、以存取身分識別供應商的登入頁面。

  3. 若要確認您可以使用SSO登入StorageGRID 支援功能、請選取*登入下列其中一個站台*、選取您主要管理節點的依賴方識別碼、然後選取*登入*。

    在SSO沙箱模式中測試依賴方信任
  4. 輸入您的聯盟使用者名稱和密碼。

    • 如果SSO登入和登出作業成功、就會出現成功訊息。

      SSO驗證和登出測試成功訊息
    • 如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。

  5. 重複這些步驟、驗證網格中每個管理節點的SSO連線。

Azure
步驟
  1. 前往Azure入口網站的「單一登入」頁面。

  2. 選擇*測試此應用程式*。

  3. 輸入同盟使用者的認證資料。

    • 如果SSO登入和登出作業成功、就會出現成功訊息。

      SSO驗證和登出測試成功訊息
    • 如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。

  4. 重複這些步驟、驗證網格中每個管理節點的SSO連線。

PingFedate
步驟
  1. 從「功能表單一登入」頁面、選取沙箱模式訊息中的第一個連結。StorageGRID

    一次選取並測試一個連結。

    單一登入
  2. 輸入同盟使用者的認證資料。

    • 如果SSO登入和登出作業成功、就會出現成功訊息。

      SSO驗證和登出測試成功訊息
    • 如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。

  3. 選取下一個連結、驗證網格中每個管理節點的SSO連線。

    如果您看到「頁面過期」訊息、請在瀏覽器中選取「上一步」按鈕、然後重新提交認證資料。

啟用單一登入

當您確認可以使用SSO登入每個管理節點時、您可以為整個StorageGRID 支援系統啟用SSO。

提示 啟用SSO時、所有使用者都必須使用SSO存取Grid Manager、租戶管理程式、Grid Management API及租戶管理API。本機使用者無法再存取StorageGRID 此功能。
步驟
  1. 選擇*組態*>*存取控制*>*單一登入*。

  2. 將SSO狀態變更為*已啟用*。

  3. 選擇*保存*。

  4. 檢閱警告訊息、然後選取*確定*。

    現在已啟用單一登入。

提示 如果您使用Azure Portal、並StorageGRID 從用來存取Azure的同一部電腦存取驗證、請確定Azure Portal使用者也是授權StorageGRID 的使用者(已匯入StorageGRID 到「驗證」的聯盟群組中的使用者)。 或登出Azure Portal後再嘗試登入StorageGRID 。