如何在ClouderaManager中使用SAML配置身份認(rèn)證

這篇文章主要為大家展示了“如何在Cloudera Manager中使用SAML配置身份認(rèn)證”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“如何在Cloudera Manager中使用SAML配置身份認(rèn)證”這篇文章吧。

為利通等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及利通網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、利通網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專(zhuān)業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

如何在Cloudera Manager中使用SAML配置身份認(rèn)證。  

Cloudera Manager支持安全性聲明標(biāo)記語(yǔ)言（SAML），這是一種基于XML的開(kāi)放標(biāo)準(zhǔn)數(shù)據(jù)格式，用于在各方之間，尤其是在身份提供者（IDP）和服務(wù)提供者（SP）之間交換身份認(rèn)證和授權(quán)數(shù)據(jù)。SAML規(guī)范定義了三個(gè)角色：Principal（通常是用戶）、IDP和SP。在SAML解決的用例中，委托人（用戶代理）向服務(wù)提供商請(qǐng)求服務(wù)。服務(wù)提供者從IDP請(qǐng)求并獲取身份聲明。基于此斷言，SP可以做出訪問(wèn)控制決定，換句話說(shuō)，它可以決定是否為連接的Principal執(zhí)行某些服務(wù)。

SAML的主要用例稱(chēng)為Web瀏覽器單點(diǎn)登錄（SSO）。使用用戶代理（通常是Web瀏覽器）的用戶請(qǐng)求受SAML SP保護(hù)的Web資源。SP希望知道發(fā)出請(qǐng)求的用戶的身份，因此通過(guò)用戶代理向SAML IDP發(fā)出身份認(rèn)證請(qǐng)求。在此術(shù)語(yǔ)的上下文中，Cloudera Manager充當(dāng)SP。本主題討論配置過(guò)程中的Cloudera Manager部分。它假定您在一般意義上熟悉SAML和SAML配置，并且已經(jīng)部署了有效的IDP。

注意

? Cloudera Manager支持SP和IDP發(fā)起的SSO。

? Cloudera Manager中的注銷(xiāo)操作將向IDP發(fā)送一次注銷(xiāo)請(qǐng)求。

? 已使用SiteMinder和Shibboleth的特定配置對(duì)SAML身份認(rèn)證進(jìn)行了測(cè)試。盡管SAML是標(biāo)準(zhǔn)，但是不同IDP產(chǎn)品之間的配置存在很大差異，因此其他IDP實(shí)施或SiteMinder和Shibboleth的其他配置可能無(wú)法與Cloudera Manager互操作。

? 如果SAML配置不正確或不起作用，要繞過(guò)SSO，您可以使用URL使用Cloudera Manager本地帳戶登錄：   http://  cm_host  :7180/cmf/localLogin

 

準(zhǔn)備文件

您將需要準(zhǔn)備以下文件和信息，并將其提供給Cloudera Manager：  

? Java Keystore，其中包含供Cloudera Manager用來(lái)簽名/加密SAML消息的私鑰。有關(guān)創(chuàng)建Java Keystore的指導(dǎo)，請(qǐng)參閱  了解   Keystore  和  truststore 。

? IDP中的SAML元數(shù)據(jù)XML文件。該文件必須包含根據(jù)SAML元數(shù)據(jù)互操作性配置文件認(rèn)證IDP使用的簽名/加密密鑰所需的公共證書(shū)。例如，如果您正在使用Shibboleth IdP，則元數(shù)據(jù)文件位于以下位置：   https://<IdPHOST>:8080/idp/shibboleth.

注意

有關(guān)如何從  IDP  獲取元數(shù)據(jù)  XML  文件的指導(dǎo)，請(qǐng)與  IDP  管理員聯(lián)系或查閱文檔以獲取所使用  IDP  版本的信息。

? 用來(lái)標(biāo)識(shí)Cloudera Manager實(shí)例的實(shí)體ID

? 如何在SAML身份認(rèn)證響應(yīng)中傳遞用戶ID：

o 作為屬性。如果是這樣，則使用什么標(biāo)識(shí)符。

o 作為NameID。

? 建立Cloudera Manager角色的方法：

o 從身份認(rèn)證響應(yīng)中的屬性：

? 該屬性將使用什么標(biāo)識(shí)符

? 將傳遞什么值來(lái)指示每個(gè)角色

o 從每次使用都會(huì)被調(diào)用的外部腳本中：

? 該腳本將用戶標(biāo)識(shí)設(shè)為$ 1

? 該腳本設(shè)置退出代碼以反映成功的身份認(rèn)證。退出代碼的有效值在0到127之間。這些值在Cloudera Manager中用于將經(jīng)過(guò)身份認(rèn)證的用戶映射到Cloudera Manager中的用戶角色。

 

配置Cloudera Manager

1)    登錄到  Cloudera Manager  管理控制臺(tái)。

2) 選擇管理>設(shè)置。

3) 為 類(lèi)別過(guò)濾器選擇外部身份認(rèn)證以顯示設(shè)置。

4) 將“外部身份認(rèn)證類(lèi)型”屬性設(shè)置為SAML（“ SAML”將忽略“身份認(rèn)證后端順序”屬性）。

5) 將“ SAML IDP元數(shù)據(jù)文件的路徑”屬性設(shè)置為指向IDP元數(shù)據(jù)文件。

6) 將“ SAML Keystore文件的路徑”屬性設(shè)置為指向先前準(zhǔn)備的Java Keystore。

7) 在“ SAML Keystore密碼”屬性中，設(shè)置Keystore密碼。

8) 在“ SAML簽名/加密專(zhuān)用密鑰的別名”屬性中，設(shè)置用于標(biāo)識(shí)供Cloudera Manager使用的專(zhuān)用密鑰的別名。

9) 在“ SAML簽名/加密私鑰密碼”屬性中，設(shè)置私鑰密碼。

10) 在以下情況下，設(shè)置SAML實(shí)體ID屬性：

? 同一IDP使用了多個(gè)Cloudera Manager實(shí)例（每個(gè)實(shí)例需要一個(gè)不同的實(shí)體ID）。

? 實(shí)體ID由組織政策分配。

11) 在“   SAML  響應(yīng)中的用戶  ID的  源  ”屬性中，設(shè)置是從屬性還是從NameID獲取用戶ID。

如果將使用屬性，請(qǐng)?jiān)谟脩鬒D屬性的SAML屬性標(biāo)識(shí)符中設(shè)置屬性名稱(chēng)。默認(rèn)值為用于用戶ID的常規(guī)OID，因此可能不需要更改。

12) 在“   SAML  角色分配機(jī)制  ”屬性中，設(shè)置是從屬性還是從外部腳本完成角色分配。

? 如果將使用屬性：

o 如果需要，在用戶角色屬性的SAML屬性標(biāo)識(shí)符中，設(shè)置屬性名稱(chēng)。默認(rèn)值為用于OrganizationalUnits的常規(guī)OID，因此可能無(wú)需更改。

? 如果將使用外部腳本，請(qǐng)?jiān)凇?nbsp;SAML角色分配腳本的路徑”屬性中設(shè)置該腳本的路徑。確保腳本是可執(zhí)行的（可執(zhí)行二進(jìn)制文件很好-不必是Shell腳本）。

13) 保存更改。Cloudera Manager將運(yùn)行一組認(rèn)證，以確?？梢哉业皆獢?shù)據(jù)XML和 Keystore，并且密碼正確。如果看到認(rèn)證錯(cuò)誤，請(qǐng)?jiān)诶^續(xù)操作之前更正問(wèn)題。

14) 重新啟動(dòng)Cloudera Manager Server。

在為Cloudera Manager配置身份認(rèn)證之后，請(qǐng)為經(jīng)過(guò)身份認(rèn)證的用戶配置授權(quán)。通過(guò)將經(jīng)過(guò)身份認(rèn)證的用戶映射到Cloudera Manager用戶角色來(lái)完成此操作。有關(guān)更多信息，請(qǐng)參閱《  Cloudera Manager  用戶角色》 。

 

配置IDP

重新啟動(dòng)Cloudera Manager Server之后，它將嘗試重定向到IDP登錄頁(yè)面，而不顯示正常的CM頁(yè)面。  這可能成功也可能不成功，具體取決于IDP的配置方式。  無(wú)論哪種情況，都需要將IDP配置為識(shí)別CM，然后身份認(rèn)證才能真正成功。  此過(guò)程的詳細(xì)信息特定于每個(gè)IDP實(shí)施-有關(guān)詳細(xì)信息，請(qǐng)參閱IDP文檔。  如果您正在使用Shibboleth IdP，則  此處  提供了有關(guān)配置IdP與服務(wù)提供商進(jìn)行通信的信息。  

1) 從中下載Cloudera Manager的SAML元數(shù)據(jù)XML文件 。  http://  hostname  :7180/saml/metadata

2) 檢查元數(shù)據(jù)文件，并確保文件中包含的所有URL都可以被用戶的Web瀏覽器解析。IDP將在此過(guò)程中的各個(gè)時(shí)間點(diǎn)將Web瀏覽器重定向到這些URL。如果瀏覽器無(wú)法解決它們，則身份認(rèn)證將失敗。如果URL不正確，則可以手動(dòng)修復(fù)XML文件或?qū)M配置中的Entity Base URL設(shè)置為正確的值，然后重新下載該文件。

3) 使用IDP提供的任何機(jī)制將此元數(shù)據(jù)文件提供給IDP。

4) 確保IDP有權(quán)訪問(wèn)必需的任何公共證書(shū)，以認(rèn)證先前提供給Cloudera Manager的私鑰。

5) 確保將IDP配置為使用Cloudera Manager配置為期望的屬性名稱(chēng)提供用戶ID和角色（如果相關(guān)）。

6) 確保對(duì)IDP配置的更改已生效（可能需要重新啟動(dòng)）。

 

驗(yàn)證身份認(rèn)證和授權(quán)

1)    返回  Cloudera Manager  管理控制臺(tái)并刷新登錄頁(yè)面。  

2) 嘗試使用已授權(quán)用戶的憑據(jù)登錄。身份認(rèn)證應(yīng)該完成，您應(yīng)該看到Home > Status選項(xiàng)卡。

3) 如果身份認(rèn)證失敗，您將看到IDP提供的錯(cuò)誤消息。Cloudera Manager不參與該過(guò)程的這一部分，您必須確保IDP正常工作以完成身份認(rèn)證。

如果身份認(rèn)證成功，但是用戶無(wú)權(quán)使用Cloudera Manager，則Cloudera Manager會(huì)將他們帶到錯(cuò)誤頁(yè)面，該錯(cuò)誤頁(yè)面會(huì)說(shuō)明情況。如果應(yīng)該被授權(quán)的用戶看到此錯(cuò)誤，那么您將需要認(rèn)證其角色配置，并確保通過(guò)屬性或外部腳本將其正確傳達(dá)給Cloudera Manager。Cloudera Manager日志將提供有關(guān)建立用戶角色失敗的詳細(xì)信息。如果在角色映射期間發(fā)生任何錯(cuò)誤，Cloudera Manager將假定用戶未經(jīng)授權(quán)。

以上是“如何在Cloudera Manager中使用SAML配置身份認(rèn)證”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

分享文章：如何在ClouderaManager中使用SAML配置身份認(rèn)證
分享鏈接：http://muchs.cn/article30/ihjppo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、電子商務(wù)、網(wǎng)站設(shè)計(jì)、服務(wù)器托管、網(wǎng)站設(shè)計(jì)公司、App開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)