Cấu hình và triển khai OneFS WebUI Single Sign-on

Trong  bài viết đầu tiên trong loạt bài này , chúng ta đã xem xét kiến ​​trúc của chức năng OneFS WebUI SSO mới. Bây giờ, chúng ta chuyển sang phần cung cấp và thiết lập.

SSO trên PowerScale có thể được cấu hình thông qua OneFS WebUI hoặc CLI. OneFS 9.5 ra mắt trang cấu hình SSO WebUI chuyên dụng mới trong Access > Authentication Providers > SSO . Ngoài ra, đối với những người đam mê dòng lệnh, CLI hiện bao gồm một bộ lệnh isi auth sso mới.

Sau đây là luồng cấu hình tổng thể:

 
1. Nâng cấp lên OneFS 9.5

Trước tiên, hãy đảm bảo cụm đang chạy OneFS 9.5 hoặc phiên bản mới hơn. Nếu nâng cấp từ phiên bản OneFS cũ hơn, hãy lưu ý rằng dịch vụ SSO yêu cầu phải cam kết nâng cấp này trước khi cấu hình và sử dụng.

Tiếp theo, cấu hình quản trị viên SSO. Trong OneFS, tài khoản này yêu cầu ít nhất một trong các đặc quyền sau:

Tài khoản người dùng được sử dụng để quản lý nhà cung cấp danh tính phải có địa chỉ email được cấu hình liên quan.

2. Thiết lập Nhà cung cấp danh tính

Việc kích hoạt OneFS SSO cũng yêu cầu phải có nhà cung cấp danh tính (IdP) phù hợp, chẳng hạn như ADFS, được cung cấp và khả dụng trước khi thiết lập OneFS SSO.

ADFS có thể được cấu hình thông qua GUI Windows hoặc shell lệnh và thông tin chi tiết về việc triển khai và cấu hình ADFS có thể tìm thấy trong tài liệu Microsoft Windows Server .

Tiện ích máy tính từ xa (RDP) của Windows có thể được sử dụng để cung cấp, kết nối và cấu hình máy chủ ADFS.

1. Khi kết nối với ADFS, hãy cấu hình một quy tắc xác định quyền truy cập. Ví dụ, cú pháp dòng lệnh sau có thể được sử dụng để tạo một quy tắc đơn giản cho phép tất cả người dùng đăng nhập:

   $AuthRules = @" 
   @RuleTemplate="AllowAllAuthzRule" => vấn đề(Loại = "http://schemas.microsoft.com/ 
   ủy quyền/yêu cầu/giấy phép", Giá trị="đúng"); 
   "@

   hoặc từ Giao diện người dùng ADFS:

   
   Lưu ý rằng có thể xây dựng các quy tắc phức tạp hơn để đáp ứng các yêu cầu cụ thể của một tổ chức.

2. Tạo tham số quy tắc để ánh xạ địa chỉ email người dùng Active Directory với SAML NameID.

   $TransformRules = @" 
   @RuleTemplate = "LdapClaims" 
   @RuleName = "Thư LDAP" 
   c:[Loại == "http://schemas.microsoft.com/ws/2008/06/identity/claims/ 
   windowsaccountname", Người phát hành == "QUYỀN QUẢNG CÁO"] 
         => vấn đề(lưu trữ = "Active Directory", 
              các loại =
              ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/
              địa chỉ email"), truy vấn = ";mail;{0}", tham số = c.Giá trị); 
   @RuleTemplate = "Bản đồ yêu cầu" 
   @RuleName = "ID tên" 
   c:[Kiểu ==
   "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
         => vấn đề(Loại =
   "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/
   nameidentifier", Người phát hành = c.
               Người phát hành, Người phát hành ban đầu = c.Người phát hành ban đầu, 
               Giá trị = c.Giá trị, ValueType = c.Giá trị,
               Thuộc tính["http://schemas.xmlsoap.org/ws/2005/05/identity
               / claimproperties/định dạng"] =
               "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"); 
   "@

3. Cấu hình AD để tin cậy chứng chỉ OneFS WebUI.
4. Tạo sự tin tưởng của bên phụ thuộc.

   Add-AdfsRelyingPartyTrust -Name <cluster-name>\  
        -MetadataUrl "https://<cluster-node-ip> 
   :8080/session/1/saml/metadata" \  
        -IssuanceAuthorizationRules $AuthRules -IssuanceTransformRules 
   $TransformRules

hoặc từ Windows Server Manager:

3.   Chọn Vùng Truy cập

Vì OneFS SSO nhận biết vùng, bước tiếp theo liên quan đến việc chọn vùng truy cập để cấu hình. Vào  Access  >  Authentication providers  >  SSO , chọn một vùng truy cập (tức là vùng hệ thống) và nhấp vào  Add IdP .

 Lưu ý rằng mỗi vùng truy cập hoặc các vùng của cụm phải có IdP được cấu hình cho nó. Cùng một IdP có thể được sử dụng cho tất cả các vùng, nhưng mỗi vùng truy cập phải được cấu hình riêng.

4.   Thêm cấu hình IdP

Trong OneFS 9.5 trở lên, cấu hình SSO của WebUI là quy trình “quy trình làm việc có hướng dẫn” do thuật sĩ điều khiển bao gồm các bước sau:

Trước tiên, hãy vào  Access  >  Nhà cung cấp xác thực  >  SSO , chọn vùng truy cập (tức là vùng hệ thống), sau đó nhấp vào  Thêm IdP .

Trên  trang Thêm Nhà cung cấp danh tính  , nhập tên duy nhất cho IdP. Ví dụ: Isln-IdP1 trong trường hợp này:

Khi hoàn tất, hãy nhấp vào  Tiếp theo , chọn  tùy chọn Tải lên siêu dữ liệu XML mặc định  và duyệt đến tệp XML đã tải xuống từ hệ thống ADFS:

Ngoài ra, nếu bạn muốn nhập thông tin thủ công, hãy chọn  Nhập thủ công  và hoàn tất các trường trong biểu mẫu cấu hình:

Nếu chọn phương pháp nhập thủ công, bạn phải chuẩn bị sẵn chứng chỉ IdP để tải lên. Với tùy chọn nhập thủ công, cần có thông tin sau:

Tải lên chứng chỉ IdP:

Ví dụ:

Lặp lại bước này cho mỗi vùng truy cập mà SSO cần được cấu hình.

Khi hoàn tất, hãy nhấp vào  Tiếp theo để chuyển sang bước cấu hình nhà cung cấp dịch vụ.

5. Cấu hình Nhà cung cấp dịch vụ

Trên trang Nhà cung cấp dịch vụ, hãy xác nhận rằng vùng truy cập hiện tại được chuyển từ trang trước.

Chọn Tải xuống siêu dữ liệu hoặc Sao chép thủ công , tùy thuộc vào phương pháp đã chọn để nhập thông tin chi tiết OneFS về nhà cung cấp dịch vụ (SP) này vào IdP.

Cung cấp tên máy chủ hoặc địa chỉ IP cho SP của vùng truy cập hiện tại.

Nhấp vào  Tạo  để tạo thông tin (siêu dữ liệu) về OneFS và vùng truy cập này để sử dụng khi cấu hình IdP.

Thông tin được tạo ra này hiện có thể được sử dụng để cấu hình IdP (trong trường hợp này là Windows ADFS) nhằm chấp nhận các yêu cầu từ PowerScale làm SP và vùng truy cập được cấu hình của nó.

Như đã trình bày, trang WebUI cung cấp hai phương pháp để lấy thông tin:

Tiếp theo, hãy tải xuống Chứng chỉ ký.

Khi hoàn tất, nhấp vào  Tiếp theo  để kết thúc cấu hình.

6. Bật SSO và Xác minh hoạt động

Sau khi IdP và SP được cấu hình, quản trị viên cụm có thể bật SSO cho mỗi vùng truy cập thông qua OneFS WebUI bằng cách vào  Access  >  Authentication providers  >  SSO . Từ đây, chọn vùng truy cập và chọn nút chuyển đổi để bật SSO:

Hoặc từ OneFS CLI, sử dụng cú pháp sau:

# isi auth sso cài đặt sửa đổi --sso-enabled 1

Tác giả : Nick Trimbee