使用沙箱模式
您可以使用沙箱模式來設定及測試單一登入(SSO)、然後再為StorageGRID 所有的使用者啟用。啟用SSO之後、您可以在需要變更或重新測試組態時、隨時返回沙箱模式。
-
您已使用登入 Grid Manager "支援的網頁瀏覽器"。
-
您有"root 存取權限"。
-
您已為StorageGRID 您的整套系統設定身分識別聯盟。
-
若為身分識別聯盟* LDAP服務類型*、您會根據您打算使用的SSO身分識別供應商、選擇Active Directory或Azure。
已設定的LDAP服務類型 SSO身分識別供應商選項 Active Directory
-
Active Directory
-
Azure
-
PingFedate
Azure
Azure
-
啟用SSO且使用者嘗試登入管理節點時StorageGRID 、將驗證要求傳送給SSO身分識別供應商。接著、SSO身分識別供應商會將驗證回應傳回StorageGRID 至原地、指出驗證要求是否成功。對於成功的要求:
-
Active Directory或PingFedate的回應包含使用者的通用唯一識別碼(UUID)。
-
Azure的回應包括使用者主要名稱(UPN)。
若要讓StorageGRID 服務供應商(服務供應商)和SSO身分識別供應商能夠安全地溝通使用者驗證要求、您必須在StorageGRID 支援中心中設定某些設定。接下來、您必須使用SSO身分識別供應商的軟體、為每個管理節點建立信賴方信任(AD FS)、企業應用程式(Azure)或服務供應商(PingFedate)。最後、您必須返回StorageGRID 到支援SSO的功能。
沙箱模式可讓您在啟用SSO之前、輕鬆執行此後端和後端組態、並測試所有設定。使用沙箱模式時、使用者無法使用 SSO 登入。
存取沙箱模式
-
選擇*組態*>*存取控制*>*單一登入*。
此時將顯示「單一登入」頁面、並選取「停用」選項。
如果 SSO 狀態選項未出現、請確認您已將身分識別提供者設定為同盟身分識別來源。請參閱。 "單一登入的要求與考量" -
選擇* Sandbox Mode*。
此時會出現「身分識別提供者」區段。
輸入身分識別供應商詳細資料
-
從下拉式清單中選取* SSO類型*。
-
根據您選取的SSO類型、填寫「身分識別提供者」區段中的欄位。
Active Directory-
輸入身分識別提供者的*聯盟服務名稱*、完全如同Active Directory Federation Service(AD FS)中所示。
若要尋找Federation服務名稱、請前往Windows Server Manager。選擇*工具*>* AD FS管理*。從「動作」功能表中選取*「編輯Federation Service內容」*。Federation Service名稱會顯示在第二個欄位中。 -
指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、將使用哪些TLS憑證來保護連線安全。
-
使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。
-
使用自訂CA憑證:使用自訂CA憑證來保護連線安全。
如果選取此設定、請複製自訂憑證的文字、然後貼到「* CA認證*」文字方塊中。
-
請勿使用TLS:請勿使用TLS憑證來保護連線安全。
如果您變更 CA 憑證、請立即"在管理節點上重新啟動 mgmt-API 服務"在 Grid Manager 中測試成功的 SSO 。
-
-
在「依賴方」區段中、指定* StorageGRID 依賴方識別符號*以供參考。此值可控制AD FS中每個依賴方信任所使用的名稱。
-
例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入
SG`或 `StorageGRID
。 -
如果您的網格包含多個管理節點、請在識別碼中包含字串
[HOSTNAME]
。例如SG-[HOSTNAME]
:。這會產生一個表格、根據節點的主機名稱、顯示系統中每個管理節點的依賴方識別碼。
您必須為StorageGRID 您的系統中的每個管理節點建立信賴關係人信任關係。信任每個管理節點的依賴方、可確保使用者能夠安全地登入及登出任何管理節點。 -
-
選擇*保存*。
「儲存」按鈕上會出現綠色勾號幾秒鐘。
Azure-
指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、將使用哪些TLS憑證來保護連線安全。
-
使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。
-
使用自訂CA憑證:使用自訂CA憑證來保護連線安全。
如果選取此設定、請複製自訂憑證的文字、然後貼到「* CA認證*」文字方塊中。
-
請勿使用TLS:請勿使用TLS憑證來保護連線安全。
如果您變更 CA 憑證、請立即"在管理節點上重新啟動 mgmt-API 服務"在 Grid Manager 中測試成功的 SSO 。
-
-
在「企業應用程式」區段中、指定*企業應用程式名稱* StorageGRID 以供參考。此值可控制Azure AD中每個企業應用程式所使用的名稱。
-
例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入
SG`或 `StorageGRID
。 -
如果您的網格包含多個管理節點、請在識別碼中包含字串
[HOSTNAME]
。例如SG-[HOSTNAME]
:。這會產生一個表格、根據節點的主機名稱、顯示系統中每個管理節點的企業應用程式名稱。
您必須為StorageGRID 您的系統中的每個管理節點建立企業應用程式。為每個管理節點設定企業應用程式、可確保使用者安全地登入及登出任何管理節點。 -
-
請依照中的步驟"在Azure AD中建立企業應用程式"、為表格中列出的每個管理節點建立企業應用程式。
-
從Azure AD複製每個企業應用程式的聯盟中繼資料URL。然後、將此URL貼到StorageGRID 相關的*聯盟中繼資料URL*欄位。
-
複製並貼上所有管理節點的聯盟中繼資料URL之後、請選取*儲存*。
「儲存」按鈕上會出現綠色勾號幾秒鐘。
PingFedate-
指定當身分識別供應商傳送SSO組態資訊以回應StorageGRID 需求時、將使用哪些TLS憑證來保護連線安全。
-
使用作業系統CA憑證:使用作業系統上安裝的預設CA憑證來保護連線安全。
-
使用自訂CA憑證:使用自訂CA憑證來保護連線安全。
如果選取此設定、請複製自訂憑證的文字、然後貼到「* CA認證*」文字方塊中。
-
請勿使用TLS:請勿使用TLS憑證來保護連線安全。
如果您變更 CA 憑證、請立即"在管理節點上重新啟動 mgmt-API 服務"在 Grid Manager 中測試成功的 SSO 。
-
-
在「服務供應商(SP)」區段中、指定* SP連線ID* StorageGRID 以供參考。此值可控制您在PingFedate中用於每個SP連線的名稱。
-
例如,如果您的網格只有一個管理節點,而且您預期未來不會新增更多管理節點,請輸入
SG`或 `StorageGRID
。 -
如果您的網格包含多個管理節點、請在識別碼中包含字串
[HOSTNAME]
。例如SG-[HOSTNAME]
:。這會根據節點的主機名稱、產生一個表格、顯示系統中每個管理節點的SP連線ID。
您必須為StorageGRID 您的系統中的每個管理節點建立SP連線。為每個管理節點建立SP連線、可確保使用者安全地登入及登出任何管理節點。 -
-
在*聯盟中繼資料URL*欄位中、指定每個管理節點的聯盟中繼資料URL。
請使用下列格式:
https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>
-
選擇*保存*。
「儲存」按鈕上會出現綠色勾號幾秒鐘。
-
設定依賴方信任、企業應用程式或SP連線
儲存組態時、會出現沙箱模式確認通知。本通知確認沙箱模式已啟用、並提供概觀指示。
根據需要、可將其保留在沙箱模式中。StorageGRID不過、在「單一登入」頁面上選取*沙箱模式*時、所有StorageGRID 的支援項目都會停用SSO功能。只有本機使用者才能登入。
請依照下列步驟設定信賴方信任(Active Directory)、完整企業應用程式(Azure)或設定SP連線(PingFedate)。
-
移至Active Directory Federation Services(AD FS)。
-
使用StorageGRID 「僅供單一登入」頁面上表所示的每個信賴方識別碼、建立一或多個可靠方的可靠信任。StorageGRID
您必須為表格中顯示的每個管理節點建立一個信任關係。
如需相關指示"在AD FS中建立依賴方信任"、請前往。
-
從您目前登入之管理節點的「單一登入」頁面、選取按鈕以下載並儲存SAML中繼資料。
-
然後、針對網格中的任何其他管理節點、重複下列步驟:
-
登入節點。
-
選擇*組態*>*存取控制*>*單一登入*。
-
下載並儲存該節點的SAML中繼資料。
-
-
前往Azure Portal。
-
請依照中的步驟"在Azure AD中建立企業應用程式"、將每個管理節點的 SAML 中繼資料檔案上傳至對應的 Azure 企業應用程式。
-
從您目前登入之管理節點的「單一登入」頁面、選取按鈕以下載並儲存SAML中繼資料。
-
然後、針對網格中的任何其他管理節點、重複下列步驟:
-
登入節點。
-
選擇*組態*>*存取控制*>*單一登入*。
-
下載並儲存該節點的SAML中繼資料。
-
-
前往PingFedate。
-
"建立一個或多個StorageGRID 服務供應商(SP)連線以供使用"。使用每個管理節點的SP連線ID(如StorageGRID 「支援單一登入」頁面表格所示)、以及您為該管理節點下載的SAML中繼資料。
您必須為表中所示的每個管理節點建立一個SP連線。
測試SSO連線
在您為整個StorageGRID 作業系統強制使用單一登入之前、您應確認已為每個管理節點正確設定單一登入和單一登出。
-
從「功能表單一登入」頁面、找到沙箱模式訊息中的連結。StorageGRID
此URL衍生自您在* Federation service name*欄位中輸入的值。
-
選取連結、或複製URL並貼到瀏覽器、以存取身分識別供應商的登入頁面。
-
若要確認您可以使用SSO登入StorageGRID 支援功能、請選取*登入下列其中一個站台*、選取您主要管理節點的依賴方識別碼、然後選取*登入*。
-
輸入您的聯盟使用者名稱和密碼。
-
如果SSO登入和登出作業成功、就會出現成功訊息。
-
如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。
-
-
重複這些步驟、驗證網格中每個管理節點的SSO連線。
-
前往Azure入口網站的「單一登入」頁面。
-
選擇*測試此應用程式*。
-
輸入同盟使用者的認證資料。
-
如果SSO登入和登出作業成功、就會出現成功訊息。
-
如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。
-
-
重複這些步驟、驗證網格中每個管理節點的SSO連線。
-
從「功能表單一登入」頁面、選取沙箱模式訊息中的第一個連結。StorageGRID
一次選取並測試一個連結。
-
輸入同盟使用者的認證資料。
-
如果SSO登入和登出作業成功、就會出現成功訊息。
-
如果SSO作業不成功、會出現錯誤訊息。請修正問題、清除瀏覽器的Cookie、然後再試一次。
-
-
選取下一個連結、驗證網格中每個管理節點的SSO連線。
如果您看到「頁面過期」訊息、請在瀏覽器中選取「上一步」按鈕、然後重新提交認證資料。
啟用單一登入
當您確認可以使用SSO登入每個管理節點時、您可以為整個StorageGRID 支援系統啟用SSO。
啟用SSO時、所有使用者都必須使用SSO存取Grid Manager、租戶管理程式、Grid Management API及租戶管理API。本機使用者無法再存取StorageGRID 此功能。 |
-
選擇*組態*>*存取控制*>*單一登入*。
-
將SSO狀態變更為*已啟用*。
-
選擇*保存*。
-
檢閱警告訊息、然後選取*確定*。
現在已啟用單一登入。
如果您使用Azure Portal、並StorageGRID 從用來存取Azure的同一部電腦存取驗證、請確定Azure Portal使用者也是授權StorageGRID 的使用者(已匯入StorageGRID 到「驗證」的聯盟群組中的使用者)。 或登出Azure Portal後再嘗試登入StorageGRID 。 |