2. 在 Rancher 中配置 Microsoft AD FS

完成在 Microsoft AD FS 中配置 Rancher 后,将你的 Active Directory Federation Service (AD FS) 信息输入 Rancher,以便 AD FS 用户可以通过 Rancher 进行身份认证。

2. 在 Rancher 中配置 Microsoft AD FS - 图1配置 ADFS 服务器的重要说明:

  • SAML 2.0 WebSSO 协议服务 URL 为:https://<RANCHER_SERVER>/v1-saml/adfs/saml/acs
  • 信赖方信任标识符 URL 为:https://<RANCHER_SERVER>/v1-saml/adfs/saml/metadata
  • 你必须从 AD FS 服务器导出 federationmetadata.xml 文件。你可以在 https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml 中找到该文件。
  1. 在左上角,单击 ☰ > 用户 & 认证

  2. 在左侧导航栏,单击认证

  3. 单击 ADFS

  4. 填写配置 AD FS 账号表单。Microsoft AD FS 允许你指定现有的 Active Directory (AD) 服务器。以下配置示例描述了如何将 AD 属性映射到 Rancher 中的字段。

  5. 完成配置 AD FS 账号表单后,单击启用

    Rancher 会将你重定向到 AD FS 登录页面。输入使用 Microsoft AD FS 进行身份验证的凭证,来验证你的 Rancher AD FS 配置。

    2. 在 Rancher 中配置 Microsoft AD FS - 图2备注

    你可能需要禁用弹出窗口阻止程序才能看到 AD FS 登录页面。

结果:已将 Rancher 配置为使用 AD FS。你的用户现在可以使用 AD FS 登录名登录 Rancher。

配置

字段描述
显示名称字段包含用户显示名称的 AD 属性。

示例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
用户名字段包含用户名/给定名称的 AD 属性。

示例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
UID 字段每个用户独有的 AD 属性。

示例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
用户组字段创建用于管理组成员关系的条目。

示例:http://schemas.xmlsoap.org/claims/Group
Rancher API 主机Rancher Server 的 URL。
私钥/证书在 Rancher 和你的 AD FS 之间创建安全外壳(SSH)的密钥/证书对。确保将 Common Name (CN) 设置为 Rancher Server URL。

证书创建命令
元数据 XML从 AD FS 服务器导出的 federationmetadata.xml 文件。

你可以在 https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml 找到该文件。

Example Certificate Creation Command

你可以使用 openssl 命令生成证书。例如:

  1. openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

Configuring SAML Single Logout (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

2. 在 Rancher 中配置 Microsoft AD FS - 图3备注

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    SettingDescription
    Log out of Rancher and not authentication providerChoosing this option will only logout the Rancher application and not external authentication providers.
    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.
    Allow the user to choose one of the above in an additional log out stepChoosing this option presents users with a choice of logout method as described above.