验证
框架系统可以信任验证用户身份的服务称为“身份提供者”或IDP。这是一个技术术语,通常用于身份验证标准和工具,因此我们还将在本解决方案指南中使用此术语。
从广义上讲,将框架与身份提供者集成在一起意味着要告诉框架哪种身份提供者可以信任以身份验证用户并告诉身份提供者如何响应框架。
层的身份验证
验证集成选项可以在帧平台内的任何级别配置。尽管大多数用例可能只需要在客户层面上进行身份验证,但在某些情况下,在不同层次使用自定义身份验证可能是有益的。从默认的客户级层开始,我们将概述下面的一些情况。
顾客
在此级别配置的任何集成都将由访问平台的所有用户/管理员使用。这是帧平台的默认配置和最常见的配置。
组织
通过在组织级别设置身份验证,客户管理员可以为不同组织配置唯一的集成。
例如,一家拥有多个子公司的公司可能希望允许这些子公司带来自己的身份验证。在这种情况下,公司(客户层)将允许每个子公司(组织层)设置自己的身份验证。
帐户
帐户级身份验证可以由客户或组织管理员配置。尽管这不是很常见,但有些用例可以从这种安排中受益。例如,托管服务提供商(MSP)将受益于让每个客户(按帐户划分)与自己的身份验证提供商集成。
选择正确的身份验证选项
选择正确的身份验证选项取决于组织想要对帧平台制作的特定用例以及组织已经拥有的身份验证选项。这可以通过回答以下问题来确定:
您需要知道用户是谁吗?
并非总是必须知道谁在框架上使用这些应用程序。一个示例可能是一个软件供应商,他想使用框架提供15分钟的产品演示。单个用户将从电子邮件或促销页面中的链接到达,目标可能是让他们在演示结束时填写反馈表,以便销售代表可以与他们联系。在这种情况下,即使反馈表可能要求提供联系信息,该应用程序也不需要知道用户是谁。在这种情况下,匿名用户将是一个不错的选择。
另一方面,需要跟踪员工全天使用的软件工具的单个用户许可的企业希望为每个用户进行身份验证。同样,如果有必要记住每个用户的个人偏好和设置,则首先需要了解用户是谁。当然,如果这些用户需要访问敏感和机密信息,则需要知道用户是谁。在这些情况下,需要用户身份验证,但是我们需要在知道哪一个之前提出另一个问题。
您是否已经在某个地方跟踪所有这些用户?
许多组织已经有一个身份提供商。因此,将该身份提供商也扩展到框架也很有意义。这通常称为单个登录(SSO)解决方案。SSO是谈论身份验证的另一种方式,SSO提供商和身份提供商是谈论同一事物的不同方法。
另一方面,如果组织没有现有的身份提供商(SSO解决方案),则Frame具有组织可以使用的内置身份提供商。此内置的身份提供商只能用于将用户验证到帧平台,并且不能用于在组织的所有平台上提供SSO解决方案。框架身份提供商仅使用用户名和密码提供身份验证。它不支持2因子身份验证或用户组。帐户管理员通过帧启动板Web应用程序在框架身份提供商中管理用户和其他帐户管理员。
如果组织需要用于所有平台的SSO解决方案,则SAML2身份提供商是合适的。
您是否已经在使用SAML2身份提供商?
具有现有身份提供商的组织可能已经在使用SAML2身份提供商。在这种情况下,将同一提供商集成(联合)与帧相同,而不是仅对单个集成(框架)采用新的IDP。
但是,组织可能具有不基于SAML2的身份提供商,并且只能在该组织的公司网络中可见。一个示例可能是使用Active Directory管理用户并提供SSO的组织。与其使用Active Directory Federation服务(ADFS)将Active Directory Server曝光到公共Internet,并承担管理和保护该服务免受威胁和停机时间的成本和维护,不如将内部IDP连接到SAML2 IDP是有意义的使用所有SAML2提供商提供的插件。然后,SAML2 IDP承担了管理公共互联网上公开的服务的责任。在我们的示例中,使用Azure AD Connect可以将Active Directory实例连接到Microsoft的Azure Active Directory(Azure AD)。然后,Azure AD成为SAML2身份提供商。框架可以与Azure AD集成,并且组织可以继续管理所有用户,这是与已经已经存在的相同的Active Directory。
选择特定的身份验证选项后,下一步的详细信息将有所不同,但是每个选项都旨在为最常见的情况提供快速简便的设置。特殊情况可能需要框架解决方案架构师的帮助。
身份验证选项快速参考
| 框架IDP | SAML2 IDP | |
|---|---|---|
| 需要SSO配置 | 不 | 是的 |
| 身份验证安全的颗粒状控制 | 是的 | 是的 |
| 用户归因 | 是的 | 是的 |
| 自定义密码策略 | 不 | 是的 |
| 2因子身份验证 | 不 | 是的 |
| 需要启动板 | 是的 | 不 |
| 与Launchpad合作 | 是的 | 是的 |
| 使用框架应用程序API | 不 | 是的 |
框架身份提供商
默认情况下,帧提供了用于身份验证帧用户的身份提供商。用户在用户设置中作为框架仪表板的一部分列出,可以邀请,晋升为管理员或退休。使用此选项,用户名必须是唯一的电子邮件地址。用户能够设置和重置自己的密码。
好处
框架身份提供商是管理用户的简便方法,它不需要特殊的设置,集成或配置。将对用户进行身份验证以提供可选功能所需的唯一用户身份,例如持续的用户配置文件和最终用户计费。
适用性
框架身份提供商可以成为单个课堂,小型企业或100名成员以下的单个工作组的方便身份验证解决方案。它可能会与更多的用户变得笨拙,或者是否经常需要添加和删除用户。
要求
对于此选项没有特殊要求。除匿名用户外,所有身份验证选项都要求用户身份(电子邮件地址)在所有框架帐户中都是唯一的。此选项要求管理员使用框架仪表板来管理用户。
限制
框架身份提供商只能提供简单,用户名和基于密码的身份验证。此选项不支持2因子身份验证,用户组,自定义密码强度策略或密码到期政策。
SAML2身份提供商
SAML2身份提供商承担维护和保护公开可见的Web服务的责任,同时提供方便的方式将该服务连接到本地目录和身份提供商,例如Active Directory,Shibboleth或LDAP服务器。
好处
SAML2身份提供商承担维护和保护公开可见的Web服务的责任,同时提供方便的方式将该服务连接到本地目录和身份提供商,例如Active Directory,Shibboleth或LDAP服务器。
适用性
如果您的组织已经在中心位置管理用户,那么SAML2身份提供商可以是将该控制扩展到诸如Frage之类的外部服务的便捷方法。
要求
SAML2提供商通常需要通过目录服务器中安装的插件或适配器访问您的用户信息。这些由SAML2提供商本身提供。例如,Microsoft提供了Azure AD Connect,它提供了一种简便的方法,可以使用现有的Active Directory Server作为所有用户身份验证的单个源或真相来设置Azure AD作为SAML2身份提供商。身份提供者为其服务收取费用,但许多人包括一个免费的层,可能适合许多帧集成。
限制
使用SAML2身份提供商是身份验证的最灵活的选择。唯一的限制是与本解决方案指南中描述的其他选项共享的局限性。框架不支持细粒度的权限,例如允许某些身份验证的用户启动应用程序,而其他人不能仅基于用户配置文件中的组或信息。
实体端点URL
当创建每个框架实体时,它们给了他们一个url sl。使用这些sl,您可以为用户构建着陆页,供他们签名并直接进入他们的资源。
URL层次结构:
顾客
帐户
┌ - ─-─-─-──达基 - ─-┐
┌ - ─-─-┴─..--─-┐
https://console.nutanix.com/customer-slug/organization-slug/account-slug/launchpad/launchpad-slug
└└└届└└└邮编 - ─-─-─-─-─-─-┬前达教至期达教 - ─-─-─-─-┘
└└前─-─-─-─-┬杏p--─....-─..-┘
└└前培养基─-─-┬─-─-─-┘
基础网址
组织
发射台
使用这些URL sl,我们可以准确地构建URL,将用户直接带到所需的资源。
知道您的实体sl。在这里尝试
想强制特定的身份提供商吗?
如果您想将用户引导到特定的身份提供商(并绕过Nutanix登录页面),请添加此信息请求参数
到您的框架URL:?到你的网址。
端点特定的URL
- LaunchPad URL
- 帐户管理URL
- 管理URL
启动板URL通常提供给终端用户,允许他们访问会议。当您导航到所需的启动板时,可以复制此URL。
如果您需要直接链接到帐户的仪表板。没有帐户管理员访问的用户只会将其重定向到他们所付出的启动板。当您导航到帐户的仪表板时,可以复制此URL。
这些URL非常适合您的管理员。您可以简单地导航到客户或组织并复制URL。
导航到您的组织或客户实体的任何管理页面并复制URL。