Skip to main content

การตั้งค่า SAML ผู้ให้บริการข้อมูลประจำตัว ภายนอก

คุณสามารถเลือกที่จะใช้ Security Assertion Markup Language (SAML) 2.0 ผู้ให้บริการข้อมูลประจำตัว เพื่อทำการตรวจสอบความถูกต้องและการอนุญาตสำหรับ Lenovo XClarity Administrator

ก่อนจะเริ่มต้น

การตั้งค่าครั้งแรกของ XClarity Administrator จะต้องดำเนินการก่อนการตั้งค่า ผู้ให้บริการข้อมูลประจำตัว

ผู้ให้บริการข้อมูลประจำตัว ต้องเป็น Microsoft Active Directory Federated Service (AD FS) และสามารถเชื่อมต่อกับเครือข่ายการจัดการ เครือข่ายข้อมูล หรือทั้งสองเครือข่าย เนื่องจากระบบจะดำเนินการตรวจสอบความถูกต้องผ่านทางเว็บเบราเซอร์ เว็บเบราเซอร์ของคุณจึงต้องสามารถเข้าถึง XClarity Administrator และเซิร์ฟเวอร์ SAML ได้

คุณสามารถดาวน์โหลด IDP Metadata โดยใช้ URL ต่อไปนี้: https://<ADFS_IP_Address>/federationmetadata/2007-06/federationmetadata.xml โดยที่ <ADFS_IP_Address> คือ ที่อยู่ IP สำหรับ AD FS (ตัวอย่างเช่น https://10.192.0.0/federationmetadata/2007-06/federationmetadata.xml)

คุณต้องสร้างหรือเปลี่ยนชื่อกลุ่มบทบาทในเซิร์ฟเวอร์ตรวจสอบความถูกต้องของตำแหน่งให้ตรงกับกลุ่มที่กำหนดไว้ในเซิร์ฟเวอร์ตรวจสอบความถูกต้องภายนอก

เพื่อตั้งค่า SAML ผู้ให้บริการข้อมูลประจำตัว คุณต้องเข้าระบบเป็นผู้ใช้ที่เป็นสมาชิกของกลุ่ม lxc_admin หรือ lxc_supervisor

เกี่ยวกับงานนี้

XClarity Administrator รองรับการใช้ Security Assertion Markup Language 2.0 ผู้ให้บริการข้อมูลประจำตัว เพื่อตรวจสอบความถูกต้องและอนุญาตผู้ใช้ นอกเหนือจากการป้อนชื่อผู้ใช้และรหัสผ่านแล้ว สามารถตั้งค่า ผู้ให้บริการข้อมูลประจำตัว เพื่อกำหนดให้ต้องใช้หลักเกณฑ์เพิ่มเติม เพื่อตรวจสอบความถูกต้องของตัวตนของผู้ใช้ เช่น การป้อนรหัส PIN การอ่านสมาร์ทการ์ด และการตรวจสอบความถูกต้องโดยใช้ใบรับรองไคลเอ็นต์

เมื่อ XClarity Administrator ถูกตั้งค่าเพื่อใช้ ผู้ให้บริการข้อมูลประจำตัว คำขอการเข้าสู่ระบบเชิงโต้ตอบจากเว็บอินเทอร์เฟซของ XClarity Administrator จะถูกส่งต่อไปยัง ผู้ให้บริการข้อมูลประจำตัว เพื่อทำการตรวจสอบความถูกต้อง หลังจากที่ผู้ใช้ได้รับการตรวจสอบความถูกต้อง เว็บเบราว์เซอร์จะถูกส่งต่อกลับไปยัง XClarity Administrator

หมายเหตุ
หาก ผู้ให้บริการข้อมูลประจำตัว ถูกเปิดใช้งาน คุณสามารถผ่าน ผู้ให้บริการข้อมูลประจำตัว และเข้าระบบใน XClarity Administrator โดยใช้เซิร์ฟเวอร์ตรวจสอบความถูกต้อง LDAP ภายในหรือภายนอก โดยเปิดเว็บเบราว์เซอร์ของคุณไปยังหน้าการเข้าระบบ XClarity Administrator (เช่น https://<ip_address>/ui/login.htm)

เมื่อ XClarity Administrator ถูกกำหนดค่าให้ใช้โปรไฟล์ ผู้ให้บริการข้อมูลประจำตัว หน้าการจัดการผู้ใช้ในเว็บอินเทอร์เฟซ XClarity Administrator จะไม่ถูกปิดใช้งาน ต้องใช้บัญชีผู้ใช้ภายในเพื่อเข้าสู่ระบบโดยตรงในตัวเครื่องหรือเซิร์ฟเวอร์ที่มีการจัดการ (ยกเว้นเมื่อเปิดใช้งาน Encapsulation บนอุปกรณ์นั้น) และสำหรับการตรวจสอบความถูกต้องของ PowerShell และ REST API

ขั้นตอน

ปฏิบัติตามขั้นตอนต่อไปนี้ เพื่อตั้งค่า SAML ผู้ให้บริการข้อมูลประจำตัว ภายนอก (AD FS)

  1. สร้างบัญชีผู้ใช้การกู้คืนที่สามารถใช้ในการเข้าระบบใน XClarity Administrator หาก ผู้ให้บริการข้อมูลประจำตัว ไม่สามารถใช้งานได้ (ดู การจัดการบัญชีผู้ใช้)
  2. ดึงค่าข้อมูลเมตาของ ผู้ให้บริการข้อมูลประจำตัว (IDP) จาก ผู้ให้บริการข้อมูลประจำตัว และบันทึกไฟล์บนโฮสต์ XClarity Administrator
  3. กำหนดค่าไคลเอ็นต์ XClarity Administrator SAML
    1. จากแถบเมนู XClarity Administrator ให้คลิก การดูแลระบบ > การรักษาความปลอดภัย
    2. คลิก การตั้งค่า SAML ภายใต้ส่วนผู้ใช้และกลุ่ม เพื่อแสดงกล่องโต้ตอบ การตั้งค่า SAML

      แสดงหน้าการตั้งค่า SAML
    3. กรอกข้อมูลฟิลด์ต่างๆ ในหน้าการตั้งค่า SAML
      1. ตรวจสอบว่า ID เอนทิตี นั้นตรงกับที่อยู่ IP ของเซิร์ฟเวอร์การจัดการของ XClarity Administrator
      2. เลือกว่าจะลงชื่อดิจิทัลกับข้อมูลเมตาที่สร้างขึ้นหรือไม่
      3. เลือกว่าจะลงชื่อคำขอการตรวจสอบความถูกต้องหรือไม่
      4. เลือกว่าจะต้องลงชื่อคำตอบกลับการตรวจสอบความถูกต้องหรือไม่
      5. เลือกว่าจะต้องลงชื่อคำขอ Artifact Resolution ที่ส่งไปยัง ผู้ให้บริการข้อมูลประจำตัว ระยะไกล
      6. วางข้อมูลเมตาของ SAML ผู้ให้บริการข้อมูลประจำตัว (IDP) ที่สร้างขึ้นโดย ผู้ให้บริการข้อมูลประจำตัว และดึงค่าในขั้นตอนที่ 3 ลงในฟิลด์ IDP Metadata
    4. คลิก นำไปใช้ เพื่อนำการเปลี่ยนแปลงไปใช้และอัปเดตข้อความในฟิลด์ SP Metadata
      ข้อควรสนใจ
      ห้ามเลือก SAML ที่เปิดใช้งาน ในขณะนี้ คุณจะเปิดใช้งาน SAML ในขั้นตอนถัดไปเพื่อรีสตาร์ท XClarity Administrator
    5. คัดลอกข้อมูลในฟิลด์ ข้อมูลเมตา SP ไปวางในไฟล์ และบันทึกไฟล์ที่มีส่วนขยาย .XML (เช่น sp_metadata.xml) คัดลอกไฟล์นี้ลงในโฮสต์ AD FS
  4. กำหนดค่า AD FS
    1. เปิดเครื่องมือการจัดการ AD FS
    2. คลิก ADFS > ความน่าเชื่อถือของบริษัทอื่นที่เกี่ยวข้อง
    3. คลิกขวาที่ ความน่าเชื่อถือของบริษัทอื่นที่เกี่ยวข้อง แล้วคลิก เพิ่มความน่าเชื่อถือของบริษัทอื่นที่เกี่ยวข้อง เพื่อแสดงตัวช่วยสร้าง
    4. คลิก เริ่ม
    5. ในหน้าเลือกแหล่งข้อมูล เลือก นำเข้าข้อมูลเกี่ยวกับบริษัทอื่นที่เกี่ยวข้องจากไฟล์ แล้วเลือกไฟล์ข้อมูลเมตา SP ที่คุณบันทึกไว้ในขั้นตอน 3e
    6. ป้อนชื่อที่แสดง
    7. คลิก ถัดไป ในทุกหน้าเพื่อเลือกค่าเริ่มต้น
    8. คลิก เสร็จ เพื่อแสดงหน้า กฎการอ้างสิทธิ์
    9. ให้ ส่งแอตทริบิวต์ LDAP เป็นข้อเรียกร้อง ให้เป็นค่าเริ่มต้น และคลิก ถัดไป
    10. ป้อนชื่อกฎการอ้างสิทธิ์
    11. เลือก Active Directory สำหรับที่จัดเก็บแอตทริบิวต์
    12. เพิ่มการแมป ทางด้านซ้ายมือ เลือก SAM-Account-Name และทางด้านขวามือ เลือก ID ชื่อ สำหรับประเภทข้อเรียกร้องขาออก
    13. เพิ่มการแมปอื่น ทางด้านซ้ายมือ เลือก Token-Groups-Unqualified Names และทางด้านขวามือ เลือก กลุ่ม สำหรับประเภทข้อเรียกร้องขาออก
    14. คลิก ตกลง
    15. ค้นหาความน่าเชื่อถือที่คุณเพิ่งสร้างขึ้นในรายการความน่าเชื่อถือของบริษัทอื่นที่เกี่ยวข้อง
    16. คลิกขวาที่ความน่าเชื่อถือ และคลิก เลือกคุณสมบัติ กล่องโต้ตอบคุณสมบัติความน่าเชื่อถือ จะปรากฏขึ้น
    17. คลิกแท็บ ขั้นสูง และเลือก SHA-1 เป็นอัลกอริทึมแฮชปลอดภัย
  5. บันทึกใบรับรองเซิร์ฟเวอร์จาก AD FS
    1. คลิก คอนโซล AD FS > บริการ > ใบรับรอง
    2. เลือก ใบรับรอง ภายใต้การลงชื่อโทเค็น
    3. คลิกขวาที่ใบรับรอง และคลิก ดูใบรับรอง
    4. คลิกแท็บ รายละเอียด
    5. คลิก คัดลอกไปยังไฟล์ และบันทึกใบรับรองเป็นไฟล์ไบนารีเข้ารหัส DER X.509 (.CER )
    6. คัดลอกไฟล์ .CER ของใบรับรองเซิร์ฟเวอร์ลงในโฮสต์ XClarity Administrator
  6. นำเข้าใบรับรองที่เชื่อถือได้ AD FS ลงในเว็บอินเทอร์เฟซของ XClarity Administrator
    1. จากแถบเมนู XClarity Administrator ให้คลิก การดูแล > การรักษาความปลอดภัย
    2. คลิก ใบรับรองที่เชื่อถือได้ ในส่วนการจัดการใบรับรอง
    3. คลิกไอคอน สร้าง (ไอคอนสร้าง) เพื่อเพิ่มใบรับรอง
    4. เลือกไฟล์ .CER ของใบรับรองเซิร์ฟเวอร์ที่คุณบันทึกไว้ในขั้นตอนก่อนหน้านี้
    5. คลิก สร้าง
  7. คลิก การตั้งค่า SAML ภายใต้ส่วนผู้ใช้และกลุ่ม เพื่อแสดงกล่องโต้ตอบ การตั้งค่า SAML
  8. เลือก เปิดใช้งาน SAML เพื่อเปิดใช้งานการจัดการบัญชีผู้ใช้โดยใช้ ผู้ให้บริการข้อมูลประจำตัว ภายนอก เมื่อเลือกตัวเลือกนี้ บัญชีผู้ใช้ทั้งหมดจะมีอยู่ในระยะไกลใน ผู้ให้บริการข้อมูลประจำตัว
  9. คลิก นำไปใช้ เพื่อนำการเปลี่ยนแปลงไปใช้และรีสตาร์ทเซิร์ฟเวอร์การจัดการ
  10. รอสองสามนาทีเพื่อให้ XClarity Administrator รีสตาร์ท
    ข้อควรสนใจ
    ห้ามรีสตาร์ทอุปกรณ์เสมือนด้วยตนเองระหว่างการดำเนินการนี้
  11. ปิดและเปิดเว็บเบราว์เซอร์ใหม่
  12. เข้าระบบในเว็บอินเทอร์เฟซของ XClarity Administrator จาก ผู้ให้บริการข้อมูลประจำตัว

ผลลัพธ์

XClarity Administrator จะพยายามทดสอบการกำหนดค่าเพื่อตรวจหาข้อผิดพลาดทั่วไป หากการทดสอบไม่เป็นผลสำเร็จ จะแสดงข้อความแสดงข้อผิดพลาดที่ระบุต้นเหตุของข้อผิดพลาด

XClarity Administrator ตรวจสอบการเชื่อมต่อ ผู้ให้บริการข้อมูลประจำตัว หากผ่านการตรวจสอบ การตรวจสอบความถูกต้องของผู้ใช้จะเกิดขึ้นบน ผู้ให้บริการข้อมูลประจำตัว เมื่อคุณเข้าระบบใน XClarity Administrator