Włącz połączenia Active Directory Federation Services (AD FS) SSO z Twoim kontem OVHcloud

Dowiedz się, jak powiązać usługę Active Directory Federation Services (AD FS) z Twoim kontem OVHcloud przez SAML 2.0

Tłumaczenie zostało wygenerowane automatycznie przez system naszego partnera SYSTRAN. W niektórych przypadkach mogą wystąpić nieprecyzyjne sformułowania, na przykład w tłumaczeniu nazw przycisków lub szczegółów technicznych. W przypadku jakichkolwiek wątpliwości zalecamy zapoznanie się z angielską/francuską wersją przewodnika. Jeśli chcesz przyczynić się do ulepszenia tłumaczenia, kliknij przycisk „Zaproponuj zmianę” na tej stronie.

Ostatnia aktualizacja z dnia 13-10-2022

Wprowadzenie

Do zalogowania się do konta OVHcloud możesz użyć unikalnego uwierzytelnienia SSO (Single Sign-On). Aby włączyć te połączenia, Twoje konto oraz usługi AD FS (Active Directory Federation Services) muszą być skonfigurowane za pomocą uwierzytelniania SAML (Security Assertion Markup Language).

Niniejszy przewodnik wyjaśnia, jak powiązać Twoje konto OVHcloud z zewnętrzną Active Directory.

Wymagania początkowe

Usługi AD FS (Active Directory Federation Services) muszą być wykonywane na serwerze
Posiadanie konta OVHcloud
Zalogowanie do Panelu klienta OVHcloud

W praktyce

Aby usługodawca (tzn. Twoje konto OVHcloud) mógł nawiązać połączenie SSO z dostawcą tożsamości (tzn. usługą AD FS), należy przede wszystkim nawiązać relację zaufania.

Budowa zaufania AD FS

Twój AD FS działa jako dostawca tożsamości. Zlecenia uwierzytelnienia Twojego konta OVHcloud zostaną przyjęte tylko wtedy, gdy zostanie ono uznane za zaufaną organizację trzecią.

W kontekście Active Directory oznacza to, że należy go dodać jako Relying Party Trust.

W menedżerze serwerów otwórz menu Tools i wybierz AD FS Management.

Kliknij Relying Party Trusts.

Następnie kliknij Add Relying Party Trust....

Wybierz Claims aware i zatwierdź przyciskiem Start.

Możesz wprowadzić ręcznie informacje dotyczące zaufanego podmiotu trzeciego lub zaimportować je z pliku metadanych.

Importuj metadane OVHcloud SP

Możesz uzyskać odpowiedni plik metadanych za pomocą następujących linków:

Wybierz Import data about the relying party from a file i wybierz Twój plik metadanych.

Następnie kliknij przycisk Next.

Wprowadź nazwę wyświetlacza dla zaufanej strony trzeciej i kliknij przycisk Next.

Kliknij Next w oknie kontroli dostępu.

Kliknij Next, aby kontynuować.

Kliknij przycisk Close w ostatnim oknie. Zatwierdzenie przez OVHcloud jako zaufaną organizację trzecią zostało dodane do Twojego AD FS.

Z OVHcloud dodanym jako zaufany podmiot zewnętrzny, powinieneś już mieć możliwość logowania się przez SSO. Jednak wszystkie informacje dotyczące tożsamości użytkownika (w zakresie "twierdzenia" SAML) pozostaną niedostępne do czasu skonfigurowania strategii dopasowania pól LDAP Active Directory do atrybutów SAML.

Korespondencja atrybutów LDAP z atrybutami SAML

Kliknij pozycję OVHcloud w części "Relying Party Trusts".

Następnie kliknij Edit Claim Issuance Policy....

Kliknij przycisk Add Rule....

Kliknij Next.

Wpisz nazwę reguły i zdefiniuj tabelę korelacji.

Wybierz Active Directory jako Attribute store.

Poniższe parametry mogą być dowolnie skonfigurowane tak, aby dostawca usług mógł poprawnie odczytać dane LDAP Active Directory. Jako przykład możesz wykorzystać poniższy obraz.

Po zakończeniu kliknij przycisk Finish.

Kliknij przycisk Apply i zatwierdź OK.

Po utworzeniu tabeli korelacji Twoja usługa AD FS stała się zaufana OVHcloud jako dostawca usług. Kolejnym krokiem jest sprawdzenie, czy konto OVHcloud zaufa użytkownikowi AD FS.

Budowa zaufania do konta OVHcloud i konfiguracja połączenia

Opcja dodawania AD FS jako zaufanego dostawcy danych jest dostępna w panelu klienta OVHcloud, w którym możesz dostarczyć metadane dostawcy tożsamości.

Zaloguj się i kliknij swój profil w prawym górnym rogu.

Kliknij Twoją nazwę, aby przejść do strony zarządzania profilem.

Otwórz zakładkę Zarządzanie użytkownikami.

Kliknij przycisk SSO connection .

Wpisz metadane XML Twojej usługi AD FS. W tym przypadku pole Nazwa atrybutu grupy jest opcjonalne. Kliknij na Zatwierdź.

Odszukaj AD FS jako dostawcę danych, a także grupy domyślne.

Aby uzyskać więcej informacji, kliknij link pod URL usługi SSO.

Przycisk ... pozwala na aktualizację lub usunięcie certyfikatu SSO i na zapoznanie się z jego szczegółami.

Usługa AD FS jest obecnie uważana za zaufanego dostawcę tożsamości. Jednocześnie należy dodać grupy do konta OVHcloud.

Jeśli spróbujesz zalogować się przez SSO, prawdopodobnie wyświetli się komunikat błędu Not in valid groups.

Twoje konto OVHcloud sprawdza, czy użytkownik loguje się do grupy istniejącej na koncie.

Aby to zrobić, sprawdź informacje zebrane w atrybucie "Group" zwróconym przez usługę AD FS.

Weźmy na przykład użytkownika "John Doe" z Active Directory, jak pokazano na poniższym obrazku.

Sprawdź tabelę korelacji w AD FS:

W tym przykładzie atrybut "Group" zwrócony przez Active Directory dla użytkownika "John Doe" jest "title". Odpowiada to "job title", który jest manager@<my-domain>.com.

Możesz również sprawdzić w twierdzeniu SAML:

<AttributeStatement>
    <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
        <AttributeValue>manager@<my-domain>.com</AttributeValue>
    </Attribute>
    ...
</AttributeStatement>

Oznacza to, że należy dodać grupę manager@<my-domain>.com do Twojego konta OVHcloud i przypisać do niego określoną rolę. W przeciwnym razie Twoje konto OVHcloud nie wie, co może robić użytkownik.

Dodaj konto klikając przycisk Zgłoś grupę i wypełniając pola:

Następnie możesz sprawdzić, czy grupa została dodana do Twojego konta OVHcloud w sekcji Grupy:

Po zalogowaniu się z użytkownikiem Active Directory "John Doe" Twoje konto OVHcloud potwierdzi rolę "REGULAR" określoną przez jego grupę.

Następnie będziesz mógł wylogować się ze swojego konta i ponownie zalogować się z AD FS jako dostawcą danych.

Logowanie przez SSO

Na stronie logowania OVHcloud wpisz identyfikator, po którym następuje /idp bez hasła i kliknij przycisk Login.

Zostaniesz przekierowany na stronę logowania AD FS. Wprowadź login/hasło użytkownika Active Directory LDAP, następnie kliknij przycisk Sign in.

Teraz jesteś zalogowany tym samym identyfikatorem klienta, ale za pomocą użytkownika Active Directory oraz SSO AD FS.

Sprawdź również

Załóż konto OVHcloud

Zabezpieczenie konta OVHcloud i zarządzanie danymi osobowymi

Definicja i zarządzanie hasłem do konta

Zabezpieczenie konta OVHcloud za pomocą weryfikacji dwuetapowej

Przyłącz się do społeczności naszych użytkowników na stronie https://community.ovh.com/en/.

Czy ten przewodnik był pomocny?

Zachęcamy do przesyłania sugestii, które pomogą nam ulepszyć naszą dokumentację.

Obrazy, zawartość, struktura - podziel się swoim pomysłem, my dołożymy wszelkich starań, aby wprowadzić ulepszenia.

Zgłoszenie przesłane za pomocą tego formularza nie zostanie obsłużone. Skorzystaj z formularza "Utwórz zgłoszenie" .

Dziękujemy. Twoja opinia jest dla nas bardzo cenna.

Inne przewodniki, które mogą Cię zainteresować...

Konto klienta
Jak korzystać z zasad IAM przy użyciu interfejsu API OVHcloud (EN)

Konto klienta
Włącz połączenia SSO Google Workspace z Twoim kontem OVHcloud

Konto klienta
Zarządzanie użytkownikami

Najczęściej wyświetlane poradniki

Zarządzanie adresami IP

Ochrona danych klienta

Zarządzanie instancjam

Zarządzanie serwerami dedykowanymi

Zarządzanie serwerami VPS

Zarządzanie usługą Hosted Private Cloud

OVHcloud Community

Dostęp do OVHcloud Community Przesyłaj pytania, zdobywaj informacje, publikuj treści i kontaktuj się z innymi użytkownikami OVHcloud Community.

Porozmawiaj ze społecznością OVHcloud

Zgodnie z Dyrektywą 2006/112/WE po zmianach, od dnia 1 stycznia 2015 r., ceny brutto mogą różnić się w zależności od kraju zameldowania klienta
(ceny brutto wyświetlane domyślnie zawierają stawkę podatku VAT na terenie Polski).