如何在Cloudera Manager中使用SAML配置身份認證

發布時間：2021-12-24 10:55:14 來源：億速云閱讀：223 作者：小新欄目：大數據

這篇文章主要為大家展示了“如何在Cloudera Manager中使用SAML配置身份認證”，內容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領大家一起研究并學習一下“如何在Cloudera Manager中使用SAML配置身份認證”這篇文章吧。

如何在Cloudera Manager中使用SAML配置身份認證。

Cloudera Manager支持安全性聲明標記語言（SAML），這是一種基于XML的開放標準數據格式，用于在各方之間，尤其是在身份提供者（IDP）和服務提供者（SP）之間交換身份認證和授權數據。SAML規范定義了三個角色：Principal（通常是用戶）、IDP和SP。在SAML解決的用例中，委托人（用戶代理）向服務提供商請求服務。服務提供者從IDP請求并獲取身份聲明。基于此斷言，SP可以做出訪問控制決定，換句話說，它可以決定是否為連接的Principal執行某些服務。

SAML的主要用例稱為Web瀏覽器單點登錄（SSO）。使用用戶代理（通常是Web瀏覽器）的用戶請求受SAML SP保護的Web資源。SP希望知道發出請求的用戶的身份，因此通過用戶代理向SAML IDP發出身份認證請求。在此術語的上下文中，Cloudera Manager充當SP。本主題討論配置過程中的Cloudera Manager部分。它假定您在一般意義上熟悉SAML和SAML配置，并且已經部署了有效的IDP。

注意

? Cloudera Manager支持SP和IDP發起的SSO。

? Cloudera Manager中的注銷操作將向IDP發送一次注銷請求。

? 已使用SiteMinder和Shibboleth的特定配置對SAML身份認證進行了測試。盡管SAML是標準，但是不同IDP產品之間的配置存在很大差異，因此其他IDP實施或SiteMinder和Shibboleth的其他配置可能無法與Cloudera Manager互操作。

? 如果SAML配置不正確或不起作用，要繞過SSO，您可以使用URL使用Cloudera Manager本地帳戶登錄： http:// cm_host :7180/cmf/localLogin

準備文件

您將需要準備以下文件和信息，并將其提供給Cloudera Manager：

? Java Keystore，其中包含供Cloudera Manager用來簽名/加密SAML消息的私鑰。有關創建Java Keystore的指導，請參閱了解 Keystore 和 truststore 。

? IDP中的SAML元數據XML文件。該文件必須包含根據SAML元數據互操作性配置文件認證IDP使用的簽名/加密密鑰所需的公共證書。例如，如果您正在使用Shibboleth IdP，則元數據文件位于以下位置： https://<IdPHOST>:8080/idp/shibboleth.

注意

有關如何從 IDP 獲取元數據 XML 文件的指導，請與 IDP 管理員聯系或查閱文檔以獲取所使用 IDP 版本的信息。

? 用來標識Cloudera Manager實例的實體ID

? 如何在SAML身份認證響應中傳遞用戶ID：

o 作為屬性。如果是這樣，則使用什么標識符。

o 作為NameID。

? 建立Cloudera Manager角色的方法：

o 從身份認證響應中的屬性：

? 該屬性將使用什么標識符

? 將傳遞什么值來指示每個角色

o 從每次使用都會被調用的外部腳本中：

? 該腳本將用戶標識設為$ 1

? 該腳本設置退出代碼以反映成功的身份認證。退出代碼的有效值在0到127之間。這些值在Cloudera Manager中用于將經過身份認證的用戶映射到Cloudera Manager中的用戶角色。

配置Cloudera Manager

1) 登錄到 Cloudera Manager 管理控制臺。

2) 選擇管理>設置。

3) 為類別過濾器選擇外部身份認證以顯示設置。

4) 將“外部身份認證類型”屬性設置為SAML（“ SAML”將忽略“身份認證后端順序”屬性）。

5) 將“ SAML IDP元數據文件的路徑”屬性設置為指向IDP元數據文件。

6) 將“ SAML Keystore文件的路徑”屬性設置為指向先前準備的Java Keystore。

7) 在“ SAML Keystore密碼”屬性中，設置Keystore密碼。

8) 在“ SAML簽名/加密專用密鑰的別名”屬性中，設置用于標識供Cloudera Manager使用的專用密鑰的別名。

9) 在“ SAML簽名/加密私鑰密碼”屬性中，設置私鑰密碼。

10) 在以下情況下，設置SAML實體ID屬性：

? 同一IDP使用了多個Cloudera Manager實例（每個實例需要一個不同的實體ID）。

? 實體ID由組織政策分配。

11) 在“ SAML 響應中的用戶 ID的源 ”屬性中，設置是從屬性還是從NameID獲取用戶ID。

如果將使用屬性，請在用戶ID屬性的SAML屬性標識符中設置屬性名稱。默認值為用于用戶ID的常規OID，因此可能不需要更改。

12) 在“ SAML 角色分配機制 ”屬性中，設置是從屬性還是從外部腳本完成角色分配。

? 如果將使用屬性：

o 如果需要，在用戶角色屬性的SAML屬性標識符中，設置屬性名稱。默認值為用于OrganizationalUnits的常規OID，因此可能無需更改。

? 如果將使用外部腳本，請在“ SAML角色分配腳本的路徑”屬性中設置該腳本的路徑。確保腳本是可執行的（可執行二進制文件很好-不必是Shell腳本）。

13) 保存更改。Cloudera Manager將運行一組認證，以確保可以找到元數據XML和 Keystore，并且密碼正確。如果看到認證錯誤，請在繼續操作之前更正問題。

14) 重新啟動Cloudera Manager Server。

在為Cloudera Manager配置身份認證之后，請為經過身份認證的用戶配置授權。通過將經過身份認證的用戶映射到Cloudera Manager用戶角色來完成此操作。有關更多信息，請參閱《 Cloudera Manager 用戶角色》。

配置IDP

重新啟動Cloudera Manager Server之后，它將嘗試重定向到IDP登錄頁面，而不顯示正常的CM頁面。這可能成功也可能不成功，具體取決于IDP的配置方式。無論哪種情況，都需要將IDP配置為識別CM，然后身份認證才能真正成功。此過程的詳細信息特定于每個IDP實施-有關詳細信息，請參閱IDP文檔。如果您正在使用Shibboleth IdP，則此處提供了有關配置IdP與服務提供商進行通信的信息。

1) 從中下載Cloudera Manager的SAML元數據XML文件。 http:// hostname :7180/saml/metadata

2) 檢查元數據文件，并確保文件中包含的所有URL都可以被用戶的Web瀏覽器解析。IDP將在此過程中的各個時間點將Web瀏覽器重定向到這些URL。如果瀏覽器無法解決它們，則身份認證將失敗。如果URL不正確，則可以手動修復XML文件或將CM配置中的Entity Base URL設置為正確的值，然后重新下載該文件。

3) 使用IDP提供的任何機制將此元數據文件提供給IDP。

4) 確保IDP有權訪問必需的任何公共證書，以認證先前提供給Cloudera Manager的私鑰。

5) 確保將IDP配置為使用Cloudera Manager配置為期望的屬性名稱提供用戶ID和角色（如果相關）。

6) 確保對IDP配置的更改已生效（可能需要重新啟動）。

驗證身份認證和授權

1) 返回 Cloudera Manager 管理控制臺并刷新登錄頁面。

2) 嘗試使用已授權用戶的憑據登錄。身份認證應該完成，您應該看到Home > Status選項卡。

3) 如果身份認證失敗，您將看到IDP提供的錯誤消息。Cloudera Manager不參與該過程的這一部分，您必須確保IDP正常工作以完成身份認證。

如果身份認證成功，但是用戶無權使用Cloudera Manager，則Cloudera Manager會將他們帶到錯誤頁面，該錯誤頁面會說明情況。如果應該被授權的用戶看到此錯誤，那么您將需要認證其角色配置，并確保通過屬性或外部腳本將其正確傳達給Cloudera Manager。Cloudera Manager日志將提供有關建立用戶角色失敗的詳細信息。如果在角色映射期間發生任何錯誤，Cloudera Manager將假定用戶未經授權。

以上是“如何在Cloudera Manager中使用SAML配置身份認證”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！

向AI問一下細節

亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

如何在Cloudera Manager中使用SAML配置身份認證

猜你喜歡

亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

如何在Cloudera Manager中使用SAML配置身份認證

猜你喜歡

最新資訊

相關推薦

相關標簽