在配置 Rancher 以支持 AD FS 用户之前,必须将 Rancher 添加为 AD FS 中的 Relying Party Trust

  1. 以管理用户身份登录到 AD 服务器。

  2. 打开 AD FS Management 控制台。从 Actions 菜单中选择 Add Relying Party Trust…,点击 Start

    为 Rancher 配置 AD FS - 图1

  3. 选择 Enter data about the relying party manually 作为获取有关依赖方数据的选项。

    为 Rancher 配置 AD FS - 图2

  4. 输入您的 Relying Party Trust 所需的显示名称。例如,Rancher

    为 Rancher 配置 AD FS - 图3

  5. 选择 AD FS profile 配置文件作为您的依赖方信任的配置文件。

    为 Rancher 配置 AD FS - 图4

  6. optional token encryption certificate 保持为空,因为 Rancher AD FS 不会使用它。

    为 Rancher 配置 AD FS - 图5

  7. 选择 Enable support for the SAML 2.0 WebSSO protocol 并输入https://<rancher-server>/v1-saml/adfs/saml/acs URL。

    为 Rancher 配置 AD FS - 图6

  8. 添加 https://<rancher-server>/v1-saml/adfs/saml/metadataRelying party trust identifier

    为 Rancher 配置 AD FS - 图7

  9. 本教程将不涉及多因子身份验证。如果您想配置多因子身份验证 参考 Microsoft 文档

    为 Rancher 配置 AD FS - 图8

  10. Choose Issuance Authorization RUles,您可以根据用例选择任何一个可用选项。但是,出于本指南的目的,请选择 Permit all users to access this relying party

    为 Rancher 配置 AD FS - 图9

  11. 查看完设置后, 点击 Next 以添加以添加依赖方信任。

    为 Rancher 配置 AD FS - 图10

  12. Open the Edit Claim Rules… 然后点击 Close

    为 Rancher 配置 AD FS - 图11

  13. Issuance Transform Rules 表, 单击 Add Rule…

    为 Rancher 配置 AD FS - 图12

  14. 选择 Send LDAP Attributes as Claims 作为 Claim rule template

    为 Rancher 配置 AD FS - 图13

  15. Claim rule name 设置为所需的名称 (例如, Rancher Attributes) 然后选择 Active Directory 作为 Attribute store。 创建以下映射以反映下表:

    LDAP 属性声明类型
    Given-NameGiven Name
    User-Principal-NameUPN
    Token-Groups - Qualified by Long Domain NameGroup
    SAM-Account-NameName

    为 Rancher 配置 AD FS - 图14

  16. 从以下位置的 AD 服务器下载: federationmetadata.xml

    1. https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml

结果: 您已将 Rancher 添加为依赖的信任方。现在,您可以配置 Rancher 以使用 AD FS。

后续操作

配置 Rancher 使用 AD FS