与Microsoft Azure AD集成¶
在(SSO)上集成Azure广告单符号是一个快速简便的过程。在开始之前,请注意您将使用四个数据来设置适当的SAML2集成。
框架SAML2集成名称。这是您需要提出的任意名称价值。该值用于唯一地识别您与Nutanix的集成,并用于制作SAML2 URI,并用作搜索向量进行故障排除和日志。
这Azure Ad Ad Federation Metadata文档URL。这是一个URL,Azure AD将SAML元数据保留为您的Azure应用程序。
这应用ID从您的Azure应用程序。
这Nutanix实体URL您将用作目标页面。请看Nutanix实体URL一节帮助您决定/找到正确的URL。这是示例框架启动板URL格式:
https://console.nutanix.com/ [customer_url ]/ [organization_url ]/ [account_url]/launchpad/ [launchpad_url]
遵循以下步骤,我们将创建并收集这些详细信息,以配置Azure和Nutanix之间的正确通信。
配置Azure AD¶
首先,我们将从注册新的Azure应用程序开始。这将为我们提供前面提到的一些数据点,我们将在以后的步骤中使用。
首先,去你Azure门户。在顶部搜索栏中搜索“应用程序注册”。在结果列表中单击它。
在左上角,单击“新注册”。
将以下信息输入相应的字段:
姓名: 进入
nutanix框架
申请名称支持的帐户类型:选择“此组织目录中的帐户仅有的透明
重定向URI(可选):从下拉菜单中选择“ Web”。我们将以以下格式输入重定向URI,但是我们必须首先提出一个唯一的SAML2集成名称在此URL中使用。继续以获取有关我们将如何做到这一点的更多详细信息。
https://img.console.nutanix.com/saml2/done/ [your_saml_integration_name ]/
单击部分底部的“注册”按钮继续进行。这要求您同意Microsoft平台策略。
您的应用信息将立即出现。让我们复制应用程序ID并将其保存以供以后使用。
接下来,单击本节顶部的“端点”按钮。复制“联邦元数据文档” URL,并保存该URL。
7.接下来,从左侧的主菜单中单击“品牌和属性”。在这里,我们将填写以下详细信息的名称,徽标和主页URL字段。随意离开其余的字段空白/默认值。
Nutanix实体URL格式
LaunchPad URL
https://console.nutanix.com/ [customer_url ]/ [organization_url ]/ [account_url]/launchpad/ [launchpad_url]
理想的: 终端用户
在哪里可以找到:导航到所需的启动板,然后从浏览器中复制URL。
帐户实体URL
https://console.nutanix.com/frame/ [customer_url ]/ [organization_url ]/ [account_url ]/
理想的:帐户管理员
在哪里可以找到:导航到帐户的仪表板,然后从浏览器中复制URL。
客户实体URL
https://console.nutanix.com/frame/ [customer_url ]/
理想的:客户管理员
在哪里可以找到:导航到客户管理控制台,然后从浏览器复制URL。
组织实体URL
https://console.nutanix.com/frame/ [customer_url ]/ [organization_url ]/
理想的:组织管理员
在哪里可以找到:导航到组织管理控制台,然后从浏览器复制URL。
包装品牌和属性形式,仔细检查名称,徽标和主页URL。如果一切看起来都不错,请单击页面底部的“保存”。
8.接下来,我们将分配某些要发送给Nutanix的索赔/断言。这样可以确保我们将以正确的格式获得电子邮件地址,并且我们可以选择通过索赔将Azure Group会员资格传递。从左侧的侧面菜单中单击“令牌配置”。单击“添加可选索赔”按钮,然后选择SAML。检查索赔列表中的“电子邮件”,然后在底部单击“添加”。
9.如果您想通过组索赔来担任角色/权限分配,请单击页面顶部附近的“添加组索赔”按钮。如果您不需要通过索赔/主张将小组会员资格通过您可以跳过此步骤。
在“编辑组声称”下,选择要在Nutanix的主张中包括的组类型。在屏幕截图中,我们选择了“安全组”和“分配给此应用程序的组”。稍后,我们可以与这些组(通过组ID)进行匹配,以分配Nutanix控制台的角色和权限。有关组的其他信息,请参见Microsoft的官方文件
接下来,展开SAML部分,然后选择“组ID”,然后单击“添加”。
10.接下来,单击左侧menu上的“身份验证”选项卡。在这里,我们将添加一个其他答复URI,用户最终可以访问登录。单击“添加URI”按钮以创建一个新的文本字段。接下来,复制存在的第一个URL并将其粘贴到我们的新URI领域。接下来,更改文本,以便我们的新URI从https://img.frame.nutanix.com
代替https://console.nutanix.com
。换句话说,我们只是在替换安慰
子域与框架
支持与遗产框架相关的验证流。完成此操作后,您已经确认URI与子域相同,请单击“保存”底部以继续。
这结束了我们需要从Azure门户执行的步骤。接下来,我们将使用应用程序ID,联合元数据URL和集成名称将Azure AD设置为SAML2提供商在Nutanix控制台中。
在框架中创建SAML2身份验证集成提供商¶
打开一个新标签并导航到您的框架帐户。可以通过导航到管理页面并单击所需的实体名称旁边列出的省略号,在任何级别上配置SAML2身份验证集成。从出现的菜单中选择“用户”。
导航到“身份验证”选项卡,并在“身份验证”下启用“ SAML2”切换。单击右上角的“保存”。
保存设置后,将出现“ SAML2提供程序”选项卡。导航到此选项卡,然后单击“添加SAML2提供商”。
将出现一个新窗口,促使您输入您之前获得的一些信息。
单击“添加”。接下来,是时候根据其用户的电子邮件地址为我们的用户设置权限,或者在步骤9中配置了组,则该设置了Group索赔。
配置SAML2权限¶
一旦成功地在帧上配置了IDP后,管理员将需要从SAML2提供商选项卡右侧的“ SAML2权限”选项卡中配置帐户的授权规则。要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。
1.接下来,获取要用于分配用户权限的组或组的对象ID。您可以从Azure Active Directory中的组控制台获得此功能。查找您要使用的组,单击它,然后复制对象ID,如下所示:
从此处,通过帐户仪表板或单击您要配置的实体旁边的省略号并选择“用户”,请导航到Nutanix控制台的用户> SAML2权限部分。单击顶端的“添加权限”。
从“提供商”下的下拉菜单中选择您的Azure AD集成。接下来,选择要允许在“允许访问”部分下访问的方式。如果您正在进行一些简单的测试,那么“总是”很棒。对于更多的粒状控件,您可以在所有或任何条件匹配时都可以扮演角色。为简单起见,我们选择单击“满足任何条件时”。在“条件”部分中,输入Microsoft Simples translation schema的URL作为属性类型:
http://schemas.microsoft.com/ws/2008/06/istentity/claims/groups
您必须使用“包含”作为逻辑运算符,因为组属性已在列表中发送。将值类型保留为“文本”,然后将您的Azure AD组的“对象ID”粘贴到文本值字段中。它应该看起来像这样:
授予您希望指定的小组拥有的任何角色。对于我们来说,我们为我们的一个帐户启动板分配了启动板用户的简单角色。如上所述完成所有字段后,单击“保存”。下次有人试图登录框架/nutanix控制台时,如果有匹配项,则将分配这些权限。
使用Azure AD访问Nutanix控制台¶
现在,您的Azure广告集成将显示给您的用户,作为Nutanix Entity在页面中的登录符号上的登录按钮。参考上述Nutanix实体URL部分为您的用户提供正确的URL。
如果为客户,组织或帐户实体URL配置了SAML2提供商,则在查看实体的URL时,您现在应该看到一个新的标志,如下所示: