本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

1.为 配置 Microsoft AD FS SUSE Rancher Prime

在配置 Rancher 以支持 Active Directory Federation Service (AD FS) 之前,您必须将 Rancher 添加为 AD FS 中的 依赖方信任

  1. 以管理员用户身份登录到您的 AD 服务器。

  2. 打开 AD FS 管理 控制台。从 操作 菜单中选择 添加依赖方信任..,然后点击 开始

    adfs overview

  3. 选择 手动输入依赖方数据 作为获取依赖方数据的选项。

    adfs add rpt 2

  4. 输入您希望为依赖方信任设置的 显示名称。例如,Rancher

    adfs add rpt 3

  5. 选择 AD FS 控制文件 作为您的依赖方信任的控制文件。

    adfs add rpt 4

  6. 可选的词元加密证书 留空,因为 Rancher AD FS 不会使用它。

    adfs add rpt 5

  7. 选择 启用对 SAML 2.0 WebSSO 协议的支持 并输入 https://<rancher-server>/v1-saml/adfs/saml/acs 作为服务 URL。

    adfs add rpt 6

  8. https://<rancher-server>/v1-saml/adfs/saml/metadata 添加为 依赖方信任标识符

    adfs add rpt 7

  9. 本教程不涵盖双重身份验证;如果您希望配置双重身份验证,请参考 Microsoft 文档

    adfs add rpt 8

  10. 选择发放授权规则 中,您可以根据用例选择可用的任一选项。但是,出于本指南的目的,请选择 允许所有用户访问此依赖方

    adfs add rpt 9

  11. 在审核您的设置后,选择 下一步 以添加依赖方信任。

    adfs add rpt 10

  12. 选择 打开编辑声明规则..,然后点击 关闭

    adfs add rpt 11

  13. 发放转换规则 选项卡上,点击 添加规则..

    adfs edit cr

  14. 选择 将 LDAP 属性作为声明发送 作为 声明规则模板

    adfs add tcr 1

  15. 声明规则名称 设置为您想要的名称(例如,Rancher Attributes),并选择 活动目录 作为 属性存储。创建以下映射以反映下表:

    LDAP 属性

    输出声明类型

    用户主体名称

    UPN

    词元组 - 由长域名限定

    SAM-Account-Name

    名称
    adfs add tcr 2

  16. 从您的 AD 服务器下载 federationmetadata.xml

    https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml

*结果:*您已将 Rancher 添加为依赖方信任。现在您可以配置 Rancher 以利用 AD。

下一步:为 Microsoft AD FS 配置 Rancher