与pingfederate集成

集成pingfederate单件(SSO)是一个快速简便的过程。我们将要从一个系统到另一个系统剪切两件事。

  • 框架SAML2集成名称。当您创建SAML2身份验证集成时,这是您选择的名称。该名称应该是整个平台上没有其他人使用的东西。它应该只有字母,数字和破折号符号;不允许空间或标点符号。也是区分大小写因为您需要按照本指南的以后步骤中的稍后步骤完全使用此名称;上和下部情况。

笔记

您选择的SAML集成名称将显示在登录平台的任何人使用的SSO登录按钮上。

  • pingfederate联邦元数据信息。这是一个元数据URL或元数据文件,Pingfederate将SAML2元数据保留为您的帐户。

遵循以下步骤,您可以找到这些值并将它们从pingfederate到框架以及从框架到pingfederate复制。这个过程应少于15分钟。

在框架中创建SAML2身份验证集成提供商

  1. 可以通过导航到管理页面并单击所需的实体名称旁边列出的省略号,在任何级别上配置SAML2身份验证集成。从出现的菜单中选择“用户”。导航到“身份验证”选项卡,并启用“ SAML2”切换。单击右上角的“保存”。

../../../_images/oktar_1b.png

  1. 将出现“ SAML2提供商”选项卡。导航到此选项卡,然后单击“添加SAML2提供商”。

../../../_images/oktar_1c.png

  1. 将出现一个新窗口,提示您输入一些信息。

    ../../../_images/example1.png

    • 应用ID:应用程序ID可以在联邦交互中标识合作伙伴,并且可以设置为任何符合DNS的字符串。在此示例中,我们将使用框架请不要使用此名称进行您自己的集成。Pingfederate将其称为“合作伙伴身份ID”。该字符串将再次引用之后在指南中。

    笔记

    该字段有时被称为服务提供商(SP)“实体ID”或“受众URI”。从技术上讲,它可以是任何文本,但通常是以URL的形式https://frame.nutanix.com。为了获得成功的身份验证,重要的是,在此字段中输入的值至少匹配“受众限制”列表中的一个值之一,即Identity Provider(IDP)创建的SAML2断言的一部分。

    • Auth Provider Metadata:现在让这个领域空白。稍后我们将返回此页面,以输入元数据URL或XML。

    • 名称:在此处输入您唯一的SAML2集成名称。该名称应只有字母,数字和破折号符号;不允许空间或标点符号。也是区分大小写。我们将使用SAML2集成名称Docs-auth-ping对于此示例。请不要使用此名称进行您自己的集成。

    • 身份验证令牌到期:为身份验证令牌设置所需的到期时间。这可以从5分钟到7天不等。

    • 签名的回应:将此切换禁用。如果您想使用签名的SAML2响应,请联系框架支持或您的客户经理以获取更多说明。

    • 签名断言:启用此切换。

  2. 保持此选项卡打开,然后在单独的选项卡中导航到您的pingfederate管理员控制台。继续进入下一节。

设置pingfederate

创建服务提供商连接

  1. 在下面SP连接,单击“创建新”按钮。

../../../_images/pf1.png

SP连接>连接类型

  1. 选择“浏览器SSO配置文件”连接模板,然后单击“下一步”。

../../_images/pf2.png

SP连接>连接选项

  1. 检查“浏览器SSO”框,然后单击“下一步”。

../../../_images/pf3.png

SP连接>导入元数据

  1. 选择“ URL”作为导入元数据的方法,然后输入框架元数据URL在“新URL”字段中。单击“加载元数据”以测试元数据导入。点击下一步。”

../../../_images/pf4.png

您的URL将采用以下格式:

https//IMG框架nutanixcom/SAML2/元数据/[saml2_integration_name]//

对于此示例,我们将使用https://img.frame.nutanix.com/saml2/metadata/docs-auth-ping/

SP连接>元数据摘要

  1. 查看“元数据摘要”选项卡上的信息,然后单击“下一步”。您会注意到“实体ID”与我们设置的应用程序ID匹配步骤3上面的框架设置部分。

../../../_images/pf5_review.png

SP连接>一般信息

  1. 确保根据元数据预先填充“合作伙伴的实体ID”,“连接名称”和“基本URL”字段。将默认值留在页面的其余部分。点击下一步。”

../../../_images/pf6.png

SP连接>浏览器SSO

  1. 单击此选项卡上的“配置浏览器SSO”。

../../../_images/pf7.png

SP连接>浏览器SSO> SAML配置文件

  1. 选择“ SP启动的SSO”和“ SP Inivied SLO”选项,然后单击“下一步”。

../../../_images/pf8.png

SP连接>浏览器SSO>断言寿命

  1. 从“断言寿命”选项卡中输入您所需的断言有效性时间,然后单击“下一步”。

../../../_images/pf9.png

SP连接>浏览器SSO>断言创建

  1. 单击此选项卡上的“配置断言创建”。

../../../_images/pf10.png

SP连接>浏览器SSO>断言创建>身份映射

  1. 选择“假名”选项,然后检查“除了假名之外的属性”。点击下一步。”

../../../_images/pf11.png

笔记

必须使用化名选项才能支持持久的名称。没有持久的名称ID,帧每次用户进行身份验证时都会创建一个新的用户帐户。这可能会导致持续性用户配置文件的问题。

SP连接>浏览器SSO>断言创建>属性合同

  1. 三个属性框架的需求应在此页面上预先填充:给定的名称,,,,sn, 和邮件。点击下一步。”

../../../_images/pf12attributes.png

SP连接>浏览器SSO>断言创建>身份验证源映射

  1. 单击此选项卡上的“映射新适配器实例”。

../../../_images/pf13.png

SP连接>浏览器SSO>断言创建> IDP适配器映射>适配器实例

  1. 选择一个适配器实例,然后单击“下一步”。

../../../_images/pf14.png

笔记

“ pingtestadapter”是一个已在此Ping实例中配置的适配器。创建适合您目录的ping适配器。创建PING适配器超出了本文档的范围。请参阅PING联邦文档想要查询更多的信息。

SP连接>浏览器SSO>断言创建> IDP适配器映射>映射方法

  1. 选择“仅在SAML断言中使用适配器合同值”选项此选项卡,然后单击“下一步”。

../../../_images/pf15.png

笔记

在这里,我们仅在SAML主张中使用适配器合同值。这只是一个示例,您可以根据最适合您的要求使用另一种方法。如果您需要识别其他属性的框架,请通过MyNutanix门户创建支持案例。

SP连接>浏览器SSO>断言创建> IDP适配器映射>属性合同履行

  1. 在每个“源”下拉菜单中选择您的适配器实例,将相应值作为此选项卡上的属性的“值”,然后单击“下一步”。

../../../_images/pf16.png

SP连接>浏览器SSO>断言创建> IDP适配器映射>发行标准

  1. (可选)选择您想要的任何授权条件,然后单击“下一步”。

SP连接>浏览器SSO>断言创建> IDP适配器映射>摘要

  1. 在“摘要”选项卡上单击“完成”。

SP连接>浏览器SSO>断言创建>身份验证源映射

  1. 您将被带回“身份验证源映射”选项卡。点击下一步。”

SP连接>浏览器SSO>断言创建>摘要

  1. 在“摘要”选项卡上查看您的断言创建配置。单击“完成”。

../../../_images/pf20.png

SP连接>浏览器SSO>断言创建

  1. 您将被带回“断言创建”选项卡。点击下一步。”

../../../_images/pf21.png

SP连接>浏览器SSO>协议设置

  1. 单击此选项卡上的“配置协议设置”。

../../_images/pf22.png

SP连接>浏览器SSO>协议设置>断言消费者服务URL

  1. 单个登录端点URL应在此选项卡上的“端点URL”字段中预先填充。点击下一步。”

../../../_images/pf23.png

SP连接>浏览器SSO>协议设置> SLO服务URL

  1. 选择从下拉菜单绑定的“重定向”,并在此选项卡上的“端点URL”字段中指定单个注销端点URL。将“响应URL”字段留空。单击“添加”,然后单击“下一步”。

../../../_images/pf24.png

SP连接>浏览器SSO>协议设置>允许的SAML绑定

  1. 仅在此选项卡上选择“帖子”和“重定向”,然后单击“下一步”。

../../../_images/pf25.png

SP连接>浏览器SSO>协议设置>签名策略

  1. 在此选项卡上选择您所需的签名策略。点击下一步。”有关签名断言和回应的更多信息,可通过Pingfederate文档

../../../_images/pf26.png

SP连接>浏览器SSO>协议设置>加密策略

  1. 在此选项卡上选择您所需的加密策略。点击下一步。”

../../../_images/pf27.png

SP连接>浏览器SSO>协议设置>摘要

  1. 单击“协议设置摘要”选项卡上的“完成”。

../../../_images/pf28.png

SP连接>浏览器SSO>摘要

  1. 单击“浏览器SSO摘要”选项卡上的“完成”。

SP连接>浏览器SSO

  1. 单击此选项卡上的“下一步”。

../../../_images/pf30.png

SP连接>凭据

  1. 单击此选项卡上的“配置凭据”。

../../../_images/pf31.png

SP连接>凭据>数字签名设置

  1. 选择用于与单个登录服务一起使用的签名证书,然后选择“在签名<键>元素中包含证书”。点击下一步。

../../../_images/pf32cert.png

SP连接>凭据>签名验证设置

  1. 单击此选项卡上的“管理签名验证设置”。

../../../_images/pf33.png

SP连接>凭据>签名验证设置>信任模型

  1. 在此选项卡上选择所需的信任模型。点击下一步。”

../../../_images/pf34.png

笔记

“锚定”的信任模型将需要由公认的证书机构签署的证书。可以在他们的中找到有关信任模型的更多信息文档

SP连接>凭据>签名验证设置>签名验证证书

  1. 在此选项卡上选择用SP元数据导入的证书。点击下一步。”

SP连接>凭据>签名验证设置>摘要

  1. 单击“签名验证摘要”选项卡上的“完成”。

../../../_images/pf36.png

SP连接>凭据>签名验证设置

  1. 单击此选项卡上的“完成”。

SP连接>凭据

  1. 单击此选项卡上的“下一步”。

../../../_images/pf38.png

SP连接>激活和摘要

  1. 为“连接状态”选项选择“活动”选项,然后单击此页面底部的“保存”。

../../../_images/pf39.png

获取pingfederate元数据信息

虽然Pingfederate建议使用元数据URL,但框架还允许您直接粘贴元数据以在平台上设置SAML2集成。我们将概述下面的这两种方法。

创建一个元数据URL

  1. 首先,导航到pingfederate控制台左侧的“服务器配置”选项卡,然后单击“服务器设置”。

../../../_images/pfm1.png

  1. 单击“联邦信息”选项卡,然后在“基本URL”字段中复制数据。

../../_images/pfm2.png

  1. 附加联邦元数据端点/pf/federation_metadata.ping到基本网址。

  2. 添加查询参数以通过其实体ID(框架应用程序ID)识别您的合作伙伴?partnerspid = [partern_entity_id]。参考步骤10在上面的部分中找到您的合作伙伴实体ID。

例如,在AWS上托管的pingfederate的元数据URL看起来像:

https://ec2-50-93-161-110.us-east-1.compute.amazonaws.com:9031/pf/federation_metadata.ping?partnerspid=frame-docs

笔记

您可以通过转到IDP配置> SP连接并单击SP连接名称来检查实体ID。在“激活与摘要”选项卡上,检查“常规信息”部分和合作伙伴的实体ID(连接ID)字段。

  1. 将元数据URL保存到剪贴板上,因为我们需要在设置的最后一步中使用它。

从文件中复制元数据

  1. 首先,单击Pingfederate控制台左侧列出的“ IDP配置”页面。在“ SP连接”下单击“管理所有”。

../../../_images/pfx1.png

  1. 找到所需的服务提供商连接,然后单击“导出元数据”。

../../_images/pfx2.png

  1. 从“元数据签名”选项卡上的下拉菜单中选择一个签名证书。检查选项“在元素中检查此证书的公共密钥证书”选项。点击下一步。”

../../../_images/pfx3.png

  1. 您将被带到“出口和摘要”页面。滚动到底部,然后单击“导出”。包含所需元数据与帧集成的.xml文件将自动下载。打开.xml文件并复制全部剪贴板窗口中的文字以供以后使用。

在框架中完成设置

在设置的最后一步中,我们将将元数据从pingfederate添加到框架中。返回浏览器中的“帧”选项卡。

单击“ Auth Provister Metadata”旁边的所需元数据方法。将您的元数据URL或元数据XML直接粘贴到现场。单击“添加”。

配置SAML2权限

一旦成功地在帧上配置了IDP后,管理员将需要从SAML2提供商选项卡右侧的“ SAML2权限”选项卡中配置帐户的授权规则。要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。

../../../_images/saml2permissions.png

在pingfederate中配置组属性

您还可以根据SAML2属性值授权用户。最常见的SAML2属性是一个组/成员属性,其中用户是一个或多个Windows AD组的成员。在配置SAML2权限之前,您必须配置ping以在SAML2断言中包含AD组列表,以发送到框架平台。有关详细信息,请咨询Ping的支持网站。以下PING身份支持页面是相关的:

例如,客户配置ping以包含saml2属性urn:狼牙棒:dir:attribute-def:群组。此属性将具有一个或多个属性值(广告组的遥远名称)。他们想匹配以遥不可及的名称标识的特定Windows广告组cn = frame-administrator,ou = groups,dc = customer,dc = company,dc = local并授予这些用户的客户管理员角色。

在SAML2许可中,条件值将是:

urn:狼牙棒:dir:attribute-def:群组

操作员必须设置为:

包含

由于可以有两个或多个属性值(即值列表),并且必须将要匹配的值设置为完整的DN字符串:

cn = frame-administrator,ou = groups,dc = customer,dc = company,dc = local

和用户被授予

客户管理员

在客户实体上。

使用pingfederate作为SAML身份验证集成

您的新SAML2 Auth集成将以按钮出现在您的框架登录页面上。导航到您的框架登录页面的URL将根据配置SAML2集成的哪个级别而有所不同。

客户级别:

https://frame.nutanix.com/ [customer_url ]/

组织级别:

https://frame.nutanix.com/ [customer_url ]/ [organization_url ]/

帐户级别:

https://frame.nutanix.com/ [customer_url ]/ [organization_url ]/ [account_url ]/
../../../_images/finalping.png