使用身分識別聯盟
使用身分識別聯盟可更快設定租戶群組和使用者、並可讓租戶使用者使用熟悉的認證登入租戶帳戶。
設定租戶管理程式的身分識別聯盟
如果您想要在其他系統(例如Active Directory、Azure Active Directory(Azure AD)、OpenLDAP或Oracle Directory Server)中管理租戶群組和使用者、可以為租戶管理程式設定身分識別聯盟。
-
您可以使用登入租戶管理程式"支援的網頁瀏覽器"。
-
您屬於具有的使用者群組"root 存取權限"。
-
您使用Active Directory、Azure AD、OpenLDAP或Oracle Directory Server做為身分識別供應商。
如果您想使用未列出的LDAP v3服務、請聯絡技術支援部門。 -
如果您打算使用OpenLDAP、則必須設定OpenLDAP伺服器。請參閱。 設定OpenLDAP伺服器的準則
-
如果您打算使用傳輸層安全性(TLS)與LDAP伺服器進行通訊、則身分識別供應商必須使用TLS 1.2或1.3。請參閱。 "用於傳出TLS連線的支援密碼"
您是否可以為租戶設定身分識別聯盟服務、取決於租戶帳戶的設定方式。您的租戶可能會共用為Grid Manager設定的身分識別聯盟服務。如果您在存取「身分識別聯盟」頁面時看到此訊息、則無法為此租用戶設定個別的同盟身分識別來源。
輸入組態
當您設定識別聯盟時、您會提供 StorageGRID 連線至 LDAP 服務所需的值。
-
選擇*存取管理*>*身分識別聯盟*。
-
選取*啟用身分識別聯盟*。
-
在LDAP服務類型區段中、選取您要設定的LDAP服務類型。
選擇*其他*以設定使用Oracle Directory Server的LDAP伺服器值。
-
如果選擇*其他*、請填寫「LDAP屬性」區段中的欄位。否則、請前往下一步。
-
使用者唯一名稱:含有LDAP使用者唯一識別碼的屬性名稱。此屬性相當於
sAMAccountName
Active Directory 和uid
OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入uid
。 -
*使用者UUID *:含有LDAP使用者永久唯一識別碼的屬性名稱。此屬性相當於
objectGUID
Active Directory 和entryUUID
OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入nsuniqueid
。指定屬性的每個使用者值必須是16位元組或字串格式的32位數十六進位數字、連字號會被忽略。 -
群組唯一名稱:包含LDAP群組唯一識別碼的屬性名稱。此屬性相當於
sAMAccountName
Active Directory 和cn
OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入cn
。 -
*群組UUID *:包含LDAP群組永久唯一識別碼的屬性名稱。此屬性相當於
objectGUID
Active Directory 和entryUUID
OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入nsuniqueid
。指定屬性的每個群組值必須是16位元組或字串格式的32位數十六進位數字、連字號會被忽略。
-
-
對於所有LDAP服務類型、請在「設定LDAP伺服器」區段中輸入所需的LDAP伺服器和網路連線資訊。
-
主機名稱:LDAP伺服器的完整網域名稱(FQDN)或IP位址。
-
連接埠:用於連接LDAP伺服器的連接埠。
STARTTLS的預設連接埠為389、LDAPS的預設連接埠為636。不過、只要防火牆設定正確、您就可以使用任何連接埠。 -
使用者名稱:將連線至LDAP伺服器之使用者的辨別名稱(DN)完整路徑。
對於Active Directory、您也可以指定低層級的登入名稱或使用者主要名稱。
指定的使用者必須擁有列出群組和使用者的權限、並可存取下列屬性:
-
sAMAccountName`或 `uid
-
objectGUID
、entryUUID`或 `nsuniqueid
-
cn
-
memberOf`或 `isMemberOf
-
* Active Directory* :
objectSid
、primaryGroupID
、userAccountControl`和 `userPrincipalName
-
* Azure * :
accountEnabled`及 `userPrincipalName
-
-
密碼:與使用者名稱相關的密碼。
如果您在未來變更密碼、您必須在此頁面上更新密碼。 -
群組基礎DN:您要搜尋群組之LDAP子樹狀結構的辨別名稱(DN)完整路徑。在Active Directory範例(如下)中、識別名稱相對於基礎DN(DC=storagegRID、DC=example、DC=com)的所有群組均可做為聯盟群組使用。
「群組唯一名稱*」值必須在所屬的*群組基礎DN*中是唯一的。 -
使用者基礎DN:您要搜尋使用者之LDAP子樹狀目錄的辨別名稱(DN)完整路徑。
*使用者唯一名稱*值必須在其所屬的*使用者基礎DN*內是唯一的。 -
* 連結使用者名稱格式 * (選用):如果無法自動判斷模式、則應使用預設的使用者名稱模式 StorageGRID 。
建議提供*連結使用者名稱格式*、因為StorageGRID 如果無法連結服務帳戶、使用者可以登入。
輸入下列其中一種模式:
-
* UserPrincipalName 模式( Active Directory 和 Azure ) * :
[USERNAME]@example.com
-
* 低階登入名稱模式( Active Directory 和 Azure ) * :
example\[USERNAME]
-
* 辨別名稱模式 * :
CN=[USERNAME],CN=Users,DC=example,DC=com
請準確附上所寫的*(使用者名稱)*。
-
-
-
在傳輸層安全性(TLS)區段中、選取安全性設定。
-
使用ARTTLS:使用ARTTLS來保護與LDAP伺服器的通訊安全。這是Active Directory、OpenLDAP或其他的建議選項、但Azure不支援此選項。
-
使用LDAPS:LDAPS(LDAP over SSL)選項使用TLS建立與LDAP伺服器的連線。您必須為Azure選取此選項。
-
請勿使用TLS:StorageGRID 不保護介於整個系統與LDAP伺服器之間的網路流量。Azure不支援此選項。
如果Active Directory伺服器強制執行LDAP簽署、則不支援使用*「不使用TLS*」選項。您必須使用ARTTLS或LDAPS。
-
-
如果您選取了ARTTLS或LDAPS、請選擇用來保護連線安全的憑證。
-
使用作業系統CA憑證:使用作業系統上安裝的預設Grid CA憑證來保護連線安全。
-
使用自訂CA憑證:使用自訂安全性憑證。
如果選取此設定、請將自訂安全性憑證複製並貼到CA憑證文字方塊中。
-
測試連線並儲存組態
輸入所有值之後、您必須先測試連線、才能儲存組態。如果您提供LDAP伺服器的連線設定和連結使用者名稱格式、則可透過此驗證。StorageGRID
-
選擇*測試連線*。
-
如果您未提供連結使用者名稱格式:
-
如果連線設定有效、就會出現「測試連線成功」訊息。選取*「Save(儲存)」*以儲存組態。
-
如果連線設定無效、就會出現「無法建立測試連線」訊息。選擇*關閉*。然後、解決所有問題、並再次測試連線。
-
-
如果您提供連結使用者名稱格式、請輸入有效同盟使用者的使用者名稱和密碼。
例如、輸入您自己的使用者名稱和密碼。請勿在使用者名稱中包含任何特殊字元、例如 @ 或 / 。
-
如果連線設定有效、就會出現「測試連線成功」訊息。選取*「Save(儲存)」*以儲存組態。
-
如果連線設定、連結使用者名稱格式或測試使用者名稱和密碼無效、則會出現錯誤訊息。解決所有問題、然後再次測試連線。
-
強制與身分識別來源同步
此系統會定期同步來自身分識別來源的聯盟群組和使用者。StorageGRID如果您想要盡快啟用或限制使用者權限、可以強制啟動同步。
-
前往「身分識別聯盟」頁面。
-
選取頁面頂端的*同步伺服器*。
視您的環境而定、同步處理程序可能需要一些時間。
如果同步處理來自身分識別來源的聯盟群組和使用者時發生問題、則會觸發*身分識別聯盟同步處理失敗*警示。
停用身分識別聯盟
您可以暫時或永久停用群組和使用者的身分識別聯盟。停用身分識別聯盟時StorageGRID 、不會在驗證和身分識別來源之間進行通訊。不過、您已設定的任何設定都會保留下來、讓您日後可以輕鬆重新啟用身分識別聯盟。
在停用身分識別聯盟之前、您應注意下列事項:
-
聯盟使用者將無法登入。
-
目前已登入的聯盟使用者將在StorageGRID 其工作階段過期之前保留對此系統的存取權、但在工作階段過期後仍無法登入。
-
StorageGRID 系統與身分識別來源之間不會同步、也不會針對尚未同步的帳戶發出警示。
-
如果將單點登錄 (SSO) 設置爲 Enabled 或 Sandbox Mode ,則禁用 Enable identity Federation (啓用身份聯合) * 複選框。「單一登入」頁面的SSO狀態必須為*停用、才能停用身分識別聯盟。請參閱。 "停用單一登入"
-
前往「身分識別聯盟」頁面。
-
取消勾選 * 啟用身分識別聯盟 * 核取方塊。
設定OpenLDAP伺服器的準則
如果您要使用OpenLDAP伺服器進行身分識別聯盟、則必須在OpenLDAP伺服器上設定特定設定。
對於非 ActiveDirectory 或 Azure 的身分識別來源、 StorageGRID 不會自動封鎖 S3 對外部停用使用者的存取。若要封鎖 S3 存取、請刪除使用者的任何 S3 金鑰、或將使用者從所有群組中移除。 |
memberOf和refert覆疊
應啟用memberof和refert覆疊。如需詳細資訊,請參閱中的反向群組成員資格維護指示http://www.openldap.org/doc/admin24/index.html["OpenLDAP文件:2.4版管理員指南"^]。
索引
您必須使用指定的索引關鍵字來設定下列OpenLDAP屬性:
-
olcDbIndex: objectClass eq
-
olcDbIndex: uid eq,pres,sub
-
olcDbIndex: cn eq,pres,sub
-
olcDbIndex: entryUUID eq
此外、請確定使用者名稱說明中所述的欄位已建立索引、以獲得最佳效能。
請參閱中有關反向群組成員資格維護的資訊http://www.openldap.org/doc/admin24/index.html["OpenLDAP文件:2.4版管理員指南"^]。