Zum Hauptinhalt springen

Externen SAML-Identity Provider einrichten

Sie können einen SAML 2.0-Identity Provider (Security Assertion Markup Language) zur Authentifizierung und Autorisierung für Lenovo XClarity Administrator nutzen.

Vorbereitende Schritte

Bevor Sie den Identity Provider konfigurieren, muss die Erstkonfiguration von XClarity Administrator abgeschlossen sein.

Die folgenden SAML Identity Provider werden unterstützt.
  • Microsoft Active Directory Federation Services (AD FS)

Der SAML Identity Provider kann entweder mit dem Verwaltungsnetzwerk, dem Datennetzwerk oder beidem verbunden sein. Da die Authentifizierung über den Webbrowser erfolgt, muss der Webbrowser auf XClarity Administrator und den SAML-Server zugreifen können.

Sie können über die folgende URL IDP-Metadaten herunterladen: https://<ADFS_IP_Address>/federationmetadata/2007-06/federationmetadata.xml, wobei <ADFS_IP_Address> die IP-Adresse für AD FS ist (z. B. https://10.192.0.0/federationmetadata/2007-06/federationmetadata.xml).

Sie müssen Rollengruppen auf dem Authentifizierungsserver des Standortes erstellen oder umbenennen, die den auf dem externen Authentifizierungsserver definierten Gruppen entsprechen.

Um einen SAML-Identity Provider einzurichten, müssen Sie als Benutzer angemeldet sein, der Mitglied der Gruppe lxc_admin oder lxc_supervisor ist.

Zu dieser Aufgabe

XClarity Administrator unterstützt die Verwendung eines SAML 2.0-Identity Providers zur Authentifizierung und Autorisierung von Benutzern. Zusätzlich zur Eingabe eines Benutzernamens und des Kennworts kann der Identity Provider so eingerichtet werden, dass ein weiteres Kriterium zur Identifikation des Benutzers erforderlich ist (beispielsweise die Eingabe eines PIN-Codes, das Lesen einer Smartcard und die Authentifizierung über ein Clientzertifikat).

Wenn XClarity Administrator für die Verwendung eines Identity Providers eingerichtet ist, werden interaktive Anmeldeanforderungen der XClarity Administrator-Webschnittstelle zur Authentifizierung an den Identity Provider umgeleitet. Wenn der Benutzer authentifiziert ist, wird der Webbrowser wieder zu XClarity Administrator umgeleitet.

Anmerkung
Wenn der Identity Provider aktiviert ist, können Sie Identity Provider umgehen und sich über einen lokalen oder externen LDAP-Authentifizierungsserver in XClarity Administrator anmelden, indem Sie die XClarity Administrator-Anmeldeseite in Ihrem Webbrowser öffnen (beispielsweise https://<ip_address>/ui/login.htm).

Wenn XClarity Administrator für die Verwendung eines Identity Provider-Profils konfiguriert ist, ist die Seite „Benutzerverwaltung“ der XClarity Administrator-Webschnittstelle nicht deaktiviert. Zur direkten Anmeldung an einem verwalteten Gehäuse oder einem Server (außer wenn Encapsulation auf der Einheit aktiviert ist) und für die PowerShell- und REST-API-Authentifizierung sind lokale Benutzerkonten erforderlich.

Vorgehensweise

Gehen Sie wie folgt vor, um einen externen SAML-Identity Provider (AD FS) einzurichten:

  1. Erstellen Sie ein Wiederherstellungsbenutzeraccount, das im Fall einer Nichtverfügbarkeit des Identity Provider zur Anmeldung in XClarity Administrator verwendet werden kann (siehe Benutzeraccounts verwalten).
  2. Rufen Sie die Identity Provider-Metadaten (IDP) vom Identity Provider ab und speichern Sie die Datei auf dem XClarity Administrator-Host.
  3. Konfigurieren Sie den XClarity Administrator-SAML-Client.
    1. Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit.
    2. Klicken Sie im Abschnitt „Benutzer und Gruppen“ auf SAML-Einstellungen, um den Dialog SAML-Clienteinstellungen anzuzeigen.

      Zeigt die Seite „SAML-Einstellungen“ an.
    3. Füllen Sie die Felder auf der Seite „SAML-Einstellungen“ aus:
      1. Stellen Sie sicher, dass die Entitäts-ID mit der IP-Adresse des XClarity Administrator Verwaltungsservers übereinstimmt.
      2. Wählen Sie aus, ob die generierten Metadaten digital signiert werden sollen.
      3. Wählen Sie aus, ob Authentifizierungsanforderungen signiert werden sollen.
      4. Wählen Sie aus, ob Authentifizierungsantworten signiert sein müssen.
      5. Wählen Sie aus, ob die an den Remote-Identity Provider gesendeten Artefakt-Auflösungsanforderungen signiert sein müssen.
      6. Fügen Sie die SAML-Identity Provider- Metadaten (IDP) in das Feld IDP-Metadaten ein, die vom Identity Provider generiert und in Schritt 3 abgerufen wurden.
    4. Klicken Sie auf Übernehmen, um die Änderungen anzuwenden und den Text im Feld „SP-Metadaten“ zu aktualisieren.
      Achtung
      Zu diesem Zeitpunkt dürfen Sie SAML aktiviertnicht auswählen. SAML wird in einem späteren Schritt aktiviert, um XClarity Administrator neu zu starten.
    5. Kopieren Sie die Daten im Feld SP-Metadaten und fügen Sie diese in einer Datei ein. Speichern Sie die Datei mit der Erweiterung .XML (beispielsweise sp_metadata.xml). Kopieren Sie diese Datei auf AD FS-Host.
  4. Konfigurieren Sie AD FS.
    1. Öffnen Sie das AD FS-Verwaltungstool.
    2. Klicken Sie auf ADFS > Vertrauensstellung der vertrauenden Seite.
    3. Klicken Sie mit der rechten Maustaste auf Vertrauensstellung der vertrauenden Seite und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen, um den Assistenten anzuzeigen.
    4. Klicken Sie auf Start.
    5. Wählen Sie auf der Seite „Datenquelle auswählen“ die Option Daten über vertrauende Seite aus einer Datei importieren und anschließend die SP-Metadatendatei, die Sie in Schritt 3e gespeichert haben.
    6. Geben Sie einen Anzeigenamen ein.
    7. Klicken Sie auf allen Seiten auf Weiter und übernehmen Sie die Standardwerte.
    8. Klicken Sie auf Fertigstellen, um die Seite Anspruchsregeln anzuzeigen
    9. Übernehmen Sie die Standardeinstellung LDAP-Attribute als Ansprüche senden und klicken Sie auf Weiter.
    10. Geben Sie einen Anspruchsregelnamen ein.
    11. Wählen Sie für den Attributspeicher Active Directory aus.
    12. Fügen Sie eine Zuordnung hinzu. Klicken Sie links auf SAM-Account-Name und wählen Sie auf der rechten Seite Namens-ID für den ausgehenden Anspruchstyp aus.
    13. Fügen Sie eine weitere Zuordnung hinzu. Wählen Sie links Token-Groups-Unqualified Names und wählen Sie auf der rechten Seite Gruppe für den ausgehenden Anspruchstyp aus.
    14. Klicken Sie auf OK.
    15. Suchen Sie in der Liste Vertrauensstellung der vertrauenden Seite die Vertrauensstellung, die Sie soeben erstellt haben.
    16. Klicken Sie mit rechts auf die Vertrauensstellung und klicken Sie auf Eigenschaften auswählen. Der Dialog „Vertrauenseigenschaften“ wird angezeigt.
    17. Klicken Sie auf die Registerkarte Erweitert und wählen Sie SHA-1 als sicheren Hashalgorithmus aus.
  5. Speichern Sie das Serverzertifikat aus AD FS.
    1. Klicken Sie auf AD FS-Konsole > Dienst > Zertifikate.
    2. Wählen Sie unter Tokensignatur Zertifikat aus.
    3. Klicken Sie mit rechts auf das Zertifikat und auf Zertifikat anzeigen.
    4. Klicken Sie auf die Registerkarte Details.
    5. Klicken Sie auf In Datei kopieren und speichern Sie das Zertifikat als DER-kodierte X.509-Binardatei (.CER).
    6. Kopieren Sie die .CER-Datei des Serverzertifikats auf den XClarity Administrator-Host.
  6. Importieren Sie das vertrauenswürdige AD FS-Zertifikat in die XClarity Administrator-Webschnittstelle.
    1. Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit.
    2. Klicken Sie im Abschnitt für die Zertifikatsverwaltung auf Vertrauenswürdige Zertifikate.
    3. Klicken Sie auf das Symbol für Erstellen (Symbol „Erstellen“), um ein Zertifikat hinzuzufügen.
    4. Wählen Sie die CER-Datei mit dem Serverzertifikat aus, die Sie im vorherigen Schritt gespeichert haben.
    5. Klicken Sie auf Erstellen.
  7. Klicken Sie im Abschnitt „Benutzer und Gruppen“ auf SAML-Einstellungen, um den Dialog SAML-Clienteinstellungen anzuzeigen.
  8. Wählen Sie SAML aktiviert aus, um die Verwaltung der Benutzerkonten über einen externen Identity Provider zu aktivieren. Wenn diese Option ausgewählt ist, befinden sich alle Benutzeraccounts auf einem externen Identity Provider.
  9. Klicken Sie auf Übernehmen, um die Änderungen anzuwenden und den Verwaltungsserver neu zu starten.
  10. Warten Sie mehrere Minuten, bis der XClarity Administrator gestartet ist.
    Achtung
    Starten Sie die virtuelle Einheit während des Prozesses nicht manuell neu.
  11. Schließen Sie den Webbrowser und öffnen Sie ihn erneut.
  12. Melden Sie sich über den Identity Provider an der XClarity Administrator-Webschnittstelle an.

Ergebnisse

XClarity Administrator versucht, die Konfiguration zu testen, um allgemeine Fehler zu erkennen. Wenn der Test fehlschlägt, werden Fehlernachrichten mit der Fehlerquelle angezeigt.

XClarity Administrator überprüft die Identity Provider-Verbindung. Wenn die Überprüfung erfolgreich ist, findet die Benutzerauthentifizierung bei der Anmeldung an XClarity Administrator auf dem Identity Provider statt.