Перейти к основному содержимому

Настройка внешнего поставщик удостоверений SAML

Можно выбрать использование поставщик удостоверений на основе языка SAML (Security Assertion Markup Language) версии 2.0 для выполнения аутентификации и авторизации для Lenovo XClarity Administrator.

Перед началом работы

Перед настройкой поставщик удостоверений должна быть завершена начальная настройка XClarity Administrator.

поставщик удостоверений должен быть службой федерации Microsoft Active Directory (AD FS) и может быть подключен к сети управления, сети данных или обеим сетям. Поскольку аутентификация выполняется через веб-браузер, веб-браузер должен иметь доступ к XClarity Administrator и серверу SAML.

Метаданные IDP можно загрузить по следующему URL-адресу: https://<ADFS_IP_Address>/federationmetadata/2007-06/federationmetadata.xml, где <ADFS_IP_Address> — IP-адрес AD FS (например, https://10.192.0.0/federationmetadata/2007-06/federationmetadata.xml).

Необходимо создать или переименовать группы ролей на сервере аутентификации местоположения, чтобы они соответствовали группам, определенным на внешнем сервере аутентификации.

Для настройки поставщик удостоверений SAML необходимо войти в качестве пользователя, входящего в группу lxc_admin или lxc_supervisor.

Об этой задаче

XClarity Administrator поддерживает аутентификацию и авторизацию пользователей с использованием поставщик удостоверений на основе языка SAML 2.0. Кроме обязательного ввода имени пользователя и пароля в поставщик удостоверений также можно настроить дополнительные способы проверки личности пользователя, например ввод PIN-кода, считывание смарт-карты и аутентификацию с помощью сертификата клиента.

Если в XClarity Administrator настроено использование поставщик удостоверений, интерактивные запросы на вход из веб-интерфейса XClarity Administrator перенаправляются в поставщик удостоверений для аутентификации. После аутентификации пользователя веб-браузер вновь перенаправляется на XClarity Administrator.

Прим.
Если выбрано использованиепоставщик удостоверений, аутентификацию с помощью поставщик удостоверений можно обойти. Для этого нужно открыть в веб-браузере страницу входа в XClarity Administrator (например: https://<ip_address>/ui/login.htm) и войти в XClarity Administrator с помощью локального или внешнего сервера аутентификации LDAP.

Если в XClarity Administrator настроено использование профиля поставщик удостоверений, страница «Управление пользователями» в веб-интерфейсе XClarity Administrator не деактивируется. Для прямого входа в систему управляемой рамы или сервера (кроме случая, когда на этом устройстве включена Encapsulation) и для аутентификации на основе PowerShell и REST API требуются локальные учетные записи пользователей.

Процедура

Для настройки внешнего поставщик удостоверений SAML (AD FS) выполните указанные ниже действия.

  1. Создайте учетную запись пользователя восстановления, с помощью которой можно будет войти в XClarity Administrator в случае утраты доступа к поставщик удостоверений (см. Управление учетными записями пользователей).
  2. Получите метаданные поставщик удостоверений (IDP) из поставщик удостоверений и сохраните файл на хосте XClarity Administrator.
  3. Настройте клиент SAML XClarity Administrator.
    1. В строке меню XClarity Administrator выберите Администрирование > Безопасность.
    2. Нажмите Параметры SAML в разделе «Пользователи и группы», чтоб отобразить диалоговое окно Параметры SAML.

      Страница «Параметры SAML».
    3. Заполните поля на странице «Параметры SAML».
      1. Убедитесь, что идентификатор объекта соответствует IP-адресу сервера управления XClarity Administrator.
      2. Выберите, должны ли созданные метаданные быть подписаны цифровой подписью.
      3. Выберите, должны ли подписываться запросы аутентификации.
      4. Выберите, должны ли подписываться ответы аутентификации.
      5. Выберите, должны ли подписываться запросы разрешения артефакта, отправляемые на удаленный поставщик удостоверений.
      6. В поле Метаданные IDP вставьте метаданные поставщик удостоверений SAML (IDP), созданные поставщик удостоверений и полученные на шаге 3.
    4. Нажмите Применить, чтобы применить изменения и обновить текст в поле «Метаданные SP».
      Внимание
      Не выбирайте сейчас параметр SAML включен. Вы включите SAML позже для перезапуска XClarity Administrator.
    5. Скопируйте данные в поле Метаданные SP и вставьте их в файл, сохраните файл с расширением .XML (например: sp_metadata.xml). Скопируйте этот файл на хост AD FS.
  4. Настройте службы AD FS.
    1. Откройте средство управления AD FS.
    2. Нажмите ADFS > Отношения доверия с проверяющей стороной.
    3. Нажмите правой кнопкой мыши Отношения доверия с проверяющей стороной и выберите Добавить отношения доверия с проверяющей стороной для вызова мастера.
    4. Нажмите Пуск.
    5. На странице «Выбор источника данных» выберите Импортировать данные о доверяющей стороне из файла, а затем выберите файл метаданных SP, который вы сохранили на шаге 3e.
    6. Введите отображаемое имя.
    7. Нажмите Далее на всех страницах, чтобы выбрать значения по умолчанию.
    8. Нажмите Готово для отображения страницы Правила утверждений.
    9. Оставьте значение по умолчанию для Отправка атрибутов LDAP как утверждений и нажмите кнопку Далее.
    10. Введите имя правила утверждения.
    11. Выберите Active Directory для хранилища атрибутов.
    12. Добавьте сопоставление. Слева выберите SAM-Account-Name, а справа — Идентификатор имени для типа исходящего утверждения.
    13. Добавьте другое сопоставление. Слева выберите Token-Groups-Unqualified Names, а справа — Группа для типа исходящего утверждения.
    14. Нажмите ОК.
    15. Найдите только что созданное вами отношение доверия в списке Отношения доверия с проверяющей стороной.
    16. Нажмите правой кнопкой мыши отношение доверия и выберите Выбрать свойства. Откроется диалоговое окно «Свойства» для отношения доверия.
    17. Откройте вкладку Дополнительные параметры и выберите SHA-1 в качестве алгоритма безопасного хеширования (SHA).
  5. Сохраните сертификат сервера из AD FS.
    1. Нажмите Консоль AD FS > Служба > Сертификаты.
    2. Выберите Сертификат в разделе «Для подписи маркера».
    3. Нажмите сертификат правой кнопкой мыши и выберите пункт Просмотреть сертификат.
    4. Перейдите на вкладку Сведения.
    5. Нажмите Копировать в файл и сохраните сертификат как двоичный файл X.509 с DER-шифрованием (.CER).
    6. Скопируйте файл сертификата сервера .CER на хост XClarity Administrator.
  6. Импортируйте доверенный сертификат AD FS в веб-интерфейс XClarity Administrator.
    1. В строке меню XClarity Administrator нажмите Администрирование > Безопасность.
    2. Нажмите Доверенные сертификаты в разделе «Управление сертификатами».
    3. Нажмите значок Создать (Значок «Создать»), чтобы добавить сертификат.
    4. Выберите файл сертификата сервера .CER, сохраненный на предыдущем шаге.
    5. Нажмите Создать.
  7. Нажмите Параметры SAML в разделе «Пользователи и группы», чтобы отобразить диалоговое окно «Параметры SAML».
  8. Выберите SAML включен, чтобы включить управление учетными записями пользователей с помощью внешнего поставщик удостоверений. Когда этот параметр выбран, все учетные записи пользователей существуют удаленно в поставщик удостоверений.
  9. Нажмите Применить, чтобы применить изменения и перезапустить сервер управления.
  10. Подождите несколько минут, необходимых для перезапуска XClarity Administrator.
    Внимание
    Во время этого процесса не перезапускайте вручную виртуальное устройство.
  11. Закройте и снова откройте веб-браузер.
  12. Выполните вход в веб-интерфейс XClarity Administrator из поставщик удостоверений.

Результаты

XClarity Administrator пытается проверить конфигурацию для обнаружения распространенных ошибок. Если проверка завершается ошибкой, отображаются сообщения об ошибках, которые указывают источник ошибок.

XClarity Administrator проверяет подключение к поставщик удостоверений. Если проверка проходит успешно, при вашем входе в XClarity Administrator выполняется аутентификация пользователя с помощью поставщик удостоверений.