Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用身分識別聯盟

貢獻者

使用身分識別聯盟可更快設定租戶群組和使用者、並可讓租戶使用者使用熟悉的認證登入租戶帳戶。

設定租戶管理程式的身分識別聯盟

如果您想要在其他系統(例如Active Directory、Azure Active Directory(Azure AD)、OpenLDAP或Oracle Directory Server)中管理租戶群組和使用者、可以為租戶管理程式設定身分識別聯盟。

開始之前
  • 您可以使用登入租戶管理程式"支援的網頁瀏覽器"

  • 您屬於具有的使用者群組"root 存取權限"

  • 您使用Active Directory、Azure AD、OpenLDAP或Oracle Directory Server做為身分識別供應商。

    註 如果您想使用未列出的LDAP v3服務、請聯絡技術支援部門。
  • 如果您打算使用OpenLDAP、則必須設定OpenLDAP伺服器。請參閱。 設定OpenLDAP伺服器的準則

  • 如果您打算使用傳輸層安全性(TLS)與LDAP伺服器進行通訊、則身分識別供應商必須使用TLS 1.2或1.3。請參閱。 "用於傳出TLS連線的支援密碼"

關於這項工作

您是否可以為租戶設定身分識別聯盟服務、取決於租戶帳戶的設定方式。您的租戶可能會共用為Grid Manager設定的身分識別聯盟服務。如果您在存取「身分識別聯盟」頁面時看到此訊息、則無法為此租用戶設定個別的同盟身分識別來源。

租戶共用身分識別聯盟

輸入組態

當您設定識別聯盟時、您會提供 StorageGRID 連線至 LDAP 服務所需的值。

步驟
  1. 選擇*存取管理*>*身分識別聯盟*。

  2. 選取*啟用身分識別聯盟*。

  3. 在LDAP服務類型區段中、選取您要設定的LDAP服務類型。

    顯示LDAP服務類型選項的「身分識別聯盟」頁面

    選擇*其他*以設定使用Oracle Directory Server的LDAP伺服器值。

  4. 如果選擇*其他*、請填寫「LDAP屬性」區段中的欄位。否則、請前往下一步。

    • 使用者唯一名稱:含有LDAP使用者唯一識別碼的屬性名稱。此屬性相當於 sAMAccountName Active Directory 和 uid OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入 uid

    • *使用者UUID *:含有LDAP使用者永久唯一識別碼的屬性名稱。此屬性相當於 objectGUID Active Directory 和 entryUUID OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入 nsuniqueid。指定屬性的每個使用者值必須是16位元組或字串格式的32位數十六進位數字、連字號會被忽略。

    • 群組唯一名稱:包含LDAP群組唯一識別碼的屬性名稱。此屬性相當於 sAMAccountName Active Directory 和 cn OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入 cn

    • *群組UUID *:包含LDAP群組永久唯一識別碼的屬性名稱。此屬性相當於 objectGUID Active Directory 和 entryUUID OpenLDAP 。如果要配置 Oracle Directory Server ,請輸入 nsuniqueid。指定屬性的每個群組值必須是16位元組或字串格式的32位數十六進位數字、連字號會被忽略。

  5. 對於所有LDAP服務類型、請在「設定LDAP伺服器」區段中輸入所需的LDAP伺服器和網路連線資訊。

    • 主機名稱:LDAP伺服器的完整網域名稱(FQDN)或IP位址。

    • 連接埠:用於連接LDAP伺服器的連接埠。

      註 STARTTLS的預設連接埠為389、LDAPS的預設連接埠為636。不過、只要防火牆設定正確、您就可以使用任何連接埠。
    • 使用者名稱:將連線至LDAP伺服器之使用者的辨別名稱(DN)完整路徑。

      對於Active Directory、您也可以指定低層級的登入名稱或使用者主要名稱。

      指定的使用者必須擁有列出群組和使用者的權限、並可存取下列屬性:

      • sAMAccountName`或 `uid

      • objectGUIDentryUUID`或 `nsuniqueid

      • cn

      • memberOf`或 `isMemberOf

      • * Active Directory* : objectSidprimaryGroupIDuserAccountControl`和 `userPrincipalName

      • * Azure * : accountEnabled`及 `userPrincipalName

    • 密碼:與使用者名稱相關的密碼。

      註 如果您在未來變更密碼、您必須在此頁面上更新密碼。
    • 群組基礎DN:您要搜尋群組之LDAP子樹狀結構的辨別名稱(DN)完整路徑。在Active Directory範例(如下)中、識別名稱相對於基礎DN(DC=storagegRID、DC=example、DC=com)的所有群組均可做為聯盟群組使用。

      註 「群組唯一名稱*」值必須在所屬的*群組基礎DN*中是唯一的。
    • 使用者基礎DN:您要搜尋使用者之LDAP子樹狀目錄的辨別名稱(DN)完整路徑。

      註 *使用者唯一名稱*值必須在其所屬的*使用者基礎DN*內是唯一的。
    • * 連結使用者名稱格式 * (選用):如果無法自動判斷模式、則應使用預設的使用者名稱模式 StorageGRID 。

      建議提供*連結使用者名稱格式*、因為StorageGRID 如果無法連結服務帳戶、使用者可以登入。

      輸入下列其中一種模式:

      • * UserPrincipalName 模式( Active Directory 和 Azure ) * : [USERNAME]@example.com

      • * 低階登入名稱模式( Active Directory 和 Azure ) * : example\[USERNAME]

      • * 辨別名稱模式 * : CN=[USERNAME],CN=Users,DC=example,DC=com

        請準確附上所寫的*(使用者名稱)*。

  6. 在傳輸層安全性(TLS)區段中、選取安全性設定。

    • 使用ARTTLS:使用ARTTLS來保護與LDAP伺服器的通訊安全。這是Active Directory、OpenLDAP或其他的建議選項、但Azure不支援此選項。

    • 使用LDAPS:LDAPS(LDAP over SSL)選項使用TLS建立與LDAP伺服器的連線。您必須為Azure選取此選項。

    • 請勿使用TLS:StorageGRID 不保護介於整個系統與LDAP伺服器之間的網路流量。Azure不支援此選項。

      註 如果Active Directory伺服器強制執行LDAP簽署、則不支援使用*「不使用TLS*」選項。您必須使用ARTTLS或LDAPS。
  7. 如果您選取了ARTTLS或LDAPS、請選擇用來保護連線安全的憑證。

    • 使用作業系統CA憑證:使用作業系統上安裝的預設Grid CA憑證來保護連線安全。

    • 使用自訂CA憑證:使用自訂安全性憑證。

      如果選取此設定、請將自訂安全性憑證複製並貼到CA憑證文字方塊中。

測試連線並儲存組態

輸入所有值之後、您必須先測試連線、才能儲存組態。如果您提供LDAP伺服器的連線設定和連結使用者名稱格式、則可透過此驗證。StorageGRID

步驟
  1. 選擇*測試連線*。

  2. 如果您未提供連結使用者名稱格式:

    • 如果連線設定有效、就會出現「測試連線成功」訊息。選取*「Save(儲存)」*以儲存組態。

    • 如果連線設定無效、就會出現「無法建立測試連線」訊息。選擇*關閉*。然後、解決所有問題、並再次測試連線。

  3. 如果您提供連結使用者名稱格式、請輸入有效同盟使用者的使用者名稱和密碼。

    例如、輸入您自己的使用者名稱和密碼。請勿在使用者名稱中包含任何特殊字元、例如 @ 或 / 。

    驗證繫結使用者名稱格式的身分識別聯盟提示
    • 如果連線設定有效、就會出現「測試連線成功」訊息。選取*「Save(儲存)」*以儲存組態。

    • 如果連線設定、連結使用者名稱格式或測試使用者名稱和密碼無效、則會出現錯誤訊息。解決所有問題、然後再次測試連線。

強制與身分識別來源同步

此系統會定期同步來自身分識別來源的聯盟群組和使用者。StorageGRID如果您想要盡快啟用或限制使用者權限、可以強制啟動同步。

步驟
  1. 前往「身分識別聯盟」頁面。

  2. 選取頁面頂端的*同步伺服器*。

    視您的環境而定、同步處理程序可能需要一些時間。

    註 如果同步處理來自身分識別來源的聯盟群組和使用者時發生問題、則會觸發*身分識別聯盟同步處理失敗*警示。

停用身分識別聯盟

您可以暫時或永久停用群組和使用者的身分識別聯盟。停用身分識別聯盟時StorageGRID 、不會在驗證和身分識別來源之間進行通訊。不過、您已設定的任何設定都會保留下來、讓您日後可以輕鬆重新啟用身分識別聯盟。

關於這項工作

在停用身分識別聯盟之前、您應注意下列事項:

  • 聯盟使用者將無法登入。

  • 目前已登入的聯盟使用者將在StorageGRID 其工作階段過期之前保留對此系統的存取權、但在工作階段過期後仍無法登入。

  • StorageGRID 系統與身分識別來源之間不會同步、也不會針對尚未同步的帳戶發出警示。

  • 如果將單點登錄 (SSO) 設置爲 EnabledSandbox Mode ,則禁用 Enable identity Federation (啓用身份聯合) * 複選框。「單一登入」頁面的SSO狀態必須為*停用、才能停用身分識別聯盟。請參閱。 "停用單一登入"

步驟
  1. 前往「身分識別聯盟」頁面。

  2. 取消勾選 * 啟用身分識別聯盟 * 核取方塊。

設定OpenLDAP伺服器的準則

如果您要使用OpenLDAP伺服器進行身分識別聯盟、則必須在OpenLDAP伺服器上設定特定設定。

警告 對於非 ActiveDirectory 或 Azure 的身分識別來源、 StorageGRID 不會自動封鎖 S3 對外部停用使用者的存取。若要封鎖 S3 存取、請刪除使用者的任何 S3 金鑰、或將使用者從所有群組中移除。

memberOf和refert覆疊

應啟用memberof和refert覆疊。如需詳細資訊,請參閱中的反向群組成員資格維護指示http://www.openldap.org/doc/admin24/index.html["OpenLDAP文件:2.4版管理員指南"^]。

索引

您必須使用指定的索引關鍵字來設定下列OpenLDAP屬性:

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

此外、請確定使用者名稱說明中所述的欄位已建立索引、以獲得最佳效能。

請參閱中有關反向群組成員資格維護的資訊http://www.openldap.org/doc/admin24/index.html["OpenLDAP文件:2.4版管理員指南"^]。