与Microsoft Azure AD集成

在(SSO)上集成Azure广告单符号是一个快速简便的过程。在开始之前,请注意您将使用四个数据来设置适当的SAML2集成。

  • 框架SAML2集成名称。这是您需要提出的任意名称价值。该值用于唯一地识别您与Nutanix的集成,并用于制作SAML2 URI,并用作搜索向量进行故障排除和日志。

  • Azure Ad Ad Federation Metadata文档URL。这是一个URL,Azure AD将SAML元数据保留为您的Azure应用程序。

  • 应用ID从您的Azure应用程序。

  • Nutanix实体URL您将用作目标页面。请看Nutanix实体URL一节帮助您决定/找到正确的URL。这是示例框架启动板URL格式:

    https://console.nutanix.com/ [customer_url ]/ [organization_url ]/ [account_url]/launchpad/ [launchpad_url]

遵循以下步骤,我们将创建并收集这些详细信息,以配置Azure和Nutanix之间的正确通信。

配置Azure AD

首先,我们将从注册新的Azure应用程序开始。这将为我们提供前面提到的一些数据点,我们将在以后的步骤中使用。

  1. 首先,去你Azure门户。在顶部搜索栏中搜索“应用程序注册”。在结果列表中单击它。

../../../_images/azuread1.png

  1. 在左上角,单击“新注册”。

../../../_images/azuread3.png

  1. 将以下信息输入相应的字段:

    ../../../_images/azuread4.png

    • 姓名: 进入nutanix框架申请名称

    • 支持的帐户类型:选择“此组织目录中的帐户仅有的透明

    • 重定向URI(可选):从下拉菜单中选择“ Web”。我们将以以下格式输入重定向URI,但是我们必须首先提出一个唯一的SAML2集成名称在此URL中使用。继续以获取有关我们将如何做到这一点的更多详细信息。

      https://img.console.nutanix.com/saml2/done/ [your_saml_integration_name ]/

    创建您的SAML2集成名称

    你的SAML2集成名称是一个对案例敏感的,对URL友好,独特和描述的值,代表您的Azure AD和框架之间的集成。该值只能具有字母,数字和破折号符号;不允许空间或标点符号。例如,如果您的公司被命名为“ Bob's Burgers”,也许您会使用以下内容:

    • Bobsburgersazuread

    • Bobsburgers-azure-ad

    • 鲍勃斯堡框架

    • 鲍勃斯堡框架

    使用其中一个集成名称,我们将拥有这样的URL:

    https://img.console.nutanix.com/saml2/done/bobsburgers-frame-azure/

    在本指南的示例和屏幕截图中,您会看到我们使用Frameazureexample对于我们的SAML2集成名称 - 请勿使用此功能!

    确定SAML2集成名称并使用它构建重定向URI后,将其写下来以在以后的步骤中使用。

  2. 单击部分底部的“注册”按钮继续进行。这要求您同意Microsoft平台策略。

  1. 您的应用信息将立即出现。让我们复制应用程序ID并将其保存以供以后使用。

../../../_images/azuread5.png

  1. 接下来,单击本节顶部的“端点”按钮。复制“联邦元数据文档” URL,并保存该URL。

../../../_images/azuread6.png

7.接下来,从左侧的主菜单中单击“品牌和属性”。在这里,我们将填写以下详细信息的名称,徽标和主页URL字段。随意离开其余的字段空白/默认值。

../../../_images/azuread7.png

  • 姓名:输入“ Nutanix框架”。

  • 上传新徽标:上传以下图像:Nutanix框架徽标(右键单击并选择浏览器的选项以保存图像)

  • 主页URL:当用户从其Azure Portal导航到Nutanix框架时,此URL最初是降落的地方。该URL可以指向帐户/发射台,但是如果您登录管理员,它可能会将其引导到其客户/组织的Nutanix控制台。请参阅下面的帮助选择和区分Nutanix实体登陆URL。

Nutanix实体URL格式

LaunchPad URL

https://console.nutanix.com/ [customer_url ]/ [organization_url ]/ [account_url]/launchpad/ [launchpad_url]

  • 理想的: 终端用户

  • 在哪里可以找到:导航到所需的启动板,然后从浏览器中复制URL。

帐户实体URL

https://console.nutanix.com/frame/ [customer_url ]/ [organization_url ]/ [account_url ]/

  • 理想的:帐户管理员

  • 在哪里可以找到:导航到帐户的仪表板,然后从浏览器中复制URL。

客户实体URL

https://console.nutanix.com/frame/ [customer_url ]/

  • 理想的:客户管理员

  • 在哪里可以找到:导航到客户管理控制台,然后从浏览器复制URL。

组织实体URL

https://console.nutanix.com/frame/ [customer_url ]/ [organization_url ]/

  • 理想的:组织管理员

  • 在哪里可以找到:导航到组织管理控制台,然后从浏览器复制URL。

包装品牌和属性形式,仔细检查名称,徽标和主页URL。如果一切看起来都不错,请单击页面底部的“保存”。

8.接下来,我们将分配某些要发送给Nutanix的索赔/断言。这样可以确保我们将以正确的格式获得电子邮件地址,并且我们可以选择通过索赔将Azure Group会员资格传递。从左侧的侧面菜单中单击“令牌配置”。单击“添加可选索赔”按​​钮,然后选择SAML。检查索赔列表中的“电子邮件”,然后在底部单击“添加”。

../../../_images/azuread8.png

9.如果您想通过组索赔来担任角色/权限分配,请单击页面顶部附近的“添加组索赔”按钮。如果您不需要通过索赔/主张将小组会员资格通过您可以跳过此步骤。

../../../_images/azuread9.png

在“编辑组声称”下,选择要在Nutanix的主张中包括的组类型。在屏幕截图中,我们选择了“安全组”和“分配给此应用程序的组”。稍后,我们可以与这些组(通过组ID)进行匹配,以分配Nutanix控制台的角色和权限。有关组的其他信息,请参见Microsoft的官方文件

接下来,展开SAML部分,然后选择“组ID”,然后单击“添加”。

10.接下来,单击左侧menu上的“身份验证”选项卡。在这里,我们将添加一个其他答复URI,用户最终可以访问登录。单击“添加URI”按钮以创建一个新的文本字段。接下来,复制存在的第一个URL并将其粘贴到我们的新URI领域。接下来,更改文本,以便我们的新URI从https://img.frame.nutanix.com代替https://console.nutanix.com。换句话说,我们只是在替换安慰子域与框架支持与遗产框架相关的验证流。完成此操作后,您已经确认URI与子域相同,请单击“保存”底部以继续。

../../../_images/azuread10.png

这结束了我们需要从Azure门户执行的步骤。接下来,我们将使用应用程序ID,联合元数据URL和集成名称将Azure AD设置为SAML2提供商在Nutanix控制台中。

在框架中创建SAML2身份验证集成提供商

  1. 打开一个新标签并导航到您的框架帐户。可以通过导航到管理页面并单击所需的实体名称旁边列出的省略号,在任何级别上配置SAML2身份验证集成。从出现的菜单中选择“用户”。

../../../_images/oktar_1a.png

  1. 导航到“身份验证”选项卡,并在“身份验证”下启用“ SAML2”切换。单击右上角的“保存”。

../../../_images/oktar_1b.png

  1. 保存设置后,将出现“ SAML2提供程序”选项卡。导航到此选项卡,然后单击“添加SAML2提供商”。

../../../_images/oktar_1c.png

  1. 将出现一个新窗口,促使您输入您之前获得的一些信息。

../../../_images/addazuread.png

  • 应用ID:粘贴从中的应用ID步骤5,搭配前缀SPN:如图所示。

  • Auth Provider Metadata: 检查URL选项并粘贴您复制的联合元数据文档URL步骤6进入这个领域。

  • 集成名称:输入SAML2集成名称(定义在步骤3)。

  • 自定义标签:指定时,此值将在登录页面中使用为符号<定制标签>。输入“ Azure AD”或根据需要进行自定义。

  • 身份验证令牌到期:为身份验证令牌设置所需的到期时间。这可以从5分钟到7天不等。

  • 签名的回应:将此切换禁用。如果您想使用签名的SAML2响应,请联系框架支持或您的客户经理以获取更多说明。

  • 签名断言:启用此切换。

单击“添加”。接下来,是时候根据其用户的电子邮件地址为我们的用户设置权限,或者在步骤9中配置了组,则该设置了Group索赔。

配置SAML2权限

一旦成功地在帧上配置了IDP后,管理员将需要从SAML2提供商选项卡右侧的“ SAML2权限”选项卡中配置帐户的授权规则。要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。

../../../_images/saml2permissions.png

1.接下来,获取要用于分配用户权限的组或组的对象ID。您可以从Azure Active Directory中的组控制台获得此功能。查找您要使用的组,单击它,然后复制对象ID,如下所示:

../../../_images/azuread_groups3.png

  1. 从此处,通过帐户仪表板或单击您要配置的实体旁边的省略号并选择“用户”,请导航到Nutanix控制台的用户> SAML2权限部分。单击顶端的“添加权限”。

../../../_images/azuread_groups4.png

  1. 从“提供商”下的下拉菜单中选择您的Azure AD集成。接下来,选择要允许在“允许访问”部分下访问的方式。如果您正在进行一些简单的测试,那么“总是”很棒。对于更多的粒状控件,您可以在所有或任何条件匹配时都可以扮演角色。为简单起见,我们选择单击“满足任何条件时”。在“条件”部分中,输入Microsoft Simples translation schema的URL作为属性类型:

http://schemas.microsoft.com/ws/2008/06/istentity/claims/groups

您必须使用“包含”作为逻辑运算符,因为组属性已在列表中发送。将值类型保留为“文本”,然后将您的Azure AD组的“对象ID”粘贴到文本值字段中。它应该看起来像这样:

../../../_images/azuread_groups5.png

  1. 授予您希望指定的小组拥有的任何角色。对于我们来说,我们为我们的一个帐户启动板分配了启动板用户的简单角色。如上所述完成所有字段后,单击“保存”。下次有人试图登录框架/nutanix控制台时,如果有匹配项,则将分配这些权限。

使用Azure AD访问Nutanix控制台

现在,您的Azure广告集成将显示给您的用户,作为Nutanix Entity在页面中的登录符号上的登录按钮。参考上述Nutanix实体URL部分为您的用户提供正确的URL。

如果为客户,组织或帐户实体URL配置了SAML2提供商,则在查看实体的URL时,您现在应该看到一个新的标志,如下所示:

../../../_images/finalazuread.png