在配置 Rancher 以支持 AD FS 用户之前,必须将 Rancher 添加为 AD FS 中的 Relying Party Trust。
以管理用户身份登录到 AD 服务器。
打开 AD FS Management 控制台。从 Actions 菜单中选择 Add Relying Party Trust…,点击 Start。
选择 Enter data about the relying party manually 作为获取有关依赖方数据的选项。
输入您的 Relying Party Trust 所需的显示名称。例如,
Rancher
。选择 AD FS profile 配置文件作为您的依赖方信任的配置文件。
将 optional token encryption certificate 保持为空,因为 Rancher AD FS 不会使用它。
选择 Enable support for the SAML 2.0 WebSSO protocol 并输入
https://<rancher-server>/v1-saml/adfs/saml/acs
URL。添加
https://<rancher-server>/v1-saml/adfs/saml/metadata
为 Relying party trust identifier。本教程将不涉及多因子身份验证。如果您想配置多因子身份验证 参考 Microsoft 文档。
在 Choose Issuance Authorization RUles,您可以根据用例选择任何一个可用选项。但是,出于本指南的目的,请选择 Permit all users to access this relying party。
查看完设置后, 点击 Next 以添加以添加依赖方信任。
在 Open the Edit Claim Rules… 然后点击 Close。
在 Issuance Transform Rules 表, 单击 Add Rule…。
选择 Send LDAP Attributes as Claims 作为 Claim rule template。
将 Claim rule name 设置为所需的名称 (例如,
Rancher Attributes
) 然后选择 Active Directory 作为 Attribute store。 创建以下映射以反映下表:LDAP 属性 声明类型 Given-Name Given Name User-Principal-Name UPN Token-Groups - Qualified by Long Domain Name Group SAM-Account-Name Name 从以下位置的 AD 服务器下载:
federationmetadata.xml
:https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml
结果: 您已将 Rancher 添加为依赖的信任方。现在,您可以配置 Rancher 以使用 AD FS。