1. 在 Microsoft AD FS 中配置 SUSE® Rancher Prime

在配置 Rancher 以支持 Active Directory Federation Service (AD FS) 之前,你必须在 AD FS 中将 Rancher 添加为 relying party trust(信赖方信任)。

  1. 以管理用户身份登录 AD 服务器。

  2. 打开 AD FS Management 控制台。在 Actions 菜单中选择 Add Relying Party Trust…​。然后单击 Start

    adfs overview

  3. 选择 Enter data about the relying party manually 作为获取信赖方数据的选项。

    adfs add rpt 2

  4. Relying Party Trust 设置显示名称,例如 Rancher

    adfs add rpt 3

  5. 选择 AD FS profile 作为信赖方信任的配置文件。

    adfs add rpt 4

  6. 留空 optional token encryption certificate,因为 Rancher AD FS 不会使用它。

    adfs add rpt 5

  7. 选择 Enable support for the SAML 2.0 WebSSO protocol 并在 Service URL 处输入 https://<rancher-server>/v1-saml/adfs/saml/acs

    adfs add rpt 6

  8. https://<rancher-server>/v1-saml/adfs/saml/metadata 添加为 Relying party trust identifier

    adfs add rpt 7

  9. 本教程不涉及多重身份认证。如果你想配置多重身份认证,请参见 Microsoft 文档

    adfs add rpt 8

  10. Choose Issuance Authorization RUles 中,你可以根据用例选择任何一个可用选项。但是考虑到本指南的目的,请选择 Permit all users to access this relying party

    adfs add rpt 9

  11. 检查所有设置后,选择 Next 来添加信赖方信任。

    adfs add rpt 10

  12. 选择 Open the Edit Claim Rules…​。然后单击 Close

    adfs add rpt 11

  13. Issuance Transform Rules 选项卡中,单击 Add Rule…​

    adfs edit cr

  14. Claim rule template 中选择 Send LDAP Attributes as Claims

    adfs add tcr 1

  15. Claim rule name 设置为所需的名称(例如 Rancher Attributes)并选择 Active Directory 作为 Attribute store。创建对应下表的映射:

    LDAP 属性 传出声明类型

    Given-Name

    Given Name

    User-Principal-Name

    UPN

    Token-Groups - Qualified by Long Domain Name

    Group

    SAM-Account-Name

    名称


    adfs add tcr 2

  16. 从 AD 服务器的以下位置下载 federationmetadata.xml

https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml

结果:你已将 Rancher 添加为依赖信任方。现在你可以配置 Rancher 来使用 AD。

后续操作

在 Rancher 中配置 Microsoft AD FS