這篇文章主要為大家展示了“如何在Cloudera Manager中使用SAML配置身份認證”，內(nèi)容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領大家一起研究并學習一下“如何在Cloudera Manager中使用SAML配置身份認證”這篇文章吧。

為利通等地區(qū)用戶提供了全套網(wǎng)頁設計制作服務，及利通網(wǎng)站建設行業(yè)解決方案。主營業(yè)務為成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設、利通網(wǎng)站設計，以傳統(tǒng)方式定制建設網(wǎng)站，并提供域名空間備案等一條龍服務，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

如何在Cloudera Manager中使用SAML配置身份認證。  

Cloudera Manager支持安全性聲明標記語言（SAML），這是一種基于XML的開放標準數(shù)據(jù)格式，用于在各方之間，尤其是在身份提供者（IDP）和服務提供者（SP）之間交換身份認證和授權數(shù)據(jù)。SAML規(guī)范定義了三個角色：Principal（通常是用戶）、IDP和SP。在SAML解決的用例中，委托人（用戶代理）向服務提供商請求服務。服務提供者從IDP請求并獲取身份聲明?；诖藬嘌裕琒P可以做出訪問控制決定，換句話說，它可以決定是否為連接的Principal執(zhí)行某些服務。

SAML的主要用例稱為Web瀏覽器單點登錄（SSO）。使用用戶代理（通常是Web瀏覽器）的用戶請求受SAML SP保護的Web資源。SP希望知道發(fā)出請求的用戶的身份，因此通過用戶代理向SAML IDP發(fā)出身份認證請求。在此術語的上下文中，Cloudera Manager充當SP。本主題討論配置過程中的Cloudera Manager部分。它假定您在一般意義上熟悉SAML和SAML配置，并且已經(jīng)部署了有效的IDP。

注意

? Cloudera Manager支持SP和IDP發(fā)起的SSO。

? Cloudera Manager中的注銷操作將向IDP發(fā)送一次注銷請求。

? 已使用SiteMinder和Shibboleth的特定配置對SAML身份認證進行了測試。盡管SAML是標準，但是不同IDP產(chǎn)品之間的配置存在很大差異，因此其他IDP實施或SiteMinder和Shibboleth的其他配置可能無法與Cloudera Manager互操作。

? 如果SAML配置不正確或不起作用，要繞過SSO，您可以使用URL使用Cloudera Manager本地帳戶登錄：   http://  cm_host  :7180/cmf/localLogin

 

準備文件

您將需要準備以下文件和信息，并將其提供給Cloudera Manager：  

? Java Keystore，其中包含供Cloudera Manager用來簽名/加密SAML消息的私鑰。有關創(chuàng)建Java Keystore的指導，請參閱  了解   Keystore  和  truststore 。

? IDP中的SAML元數(shù)據(jù)XML文件。該文件必須包含根據(jù)SAML元數(shù)據(jù)互操作性配置文件認證IDP使用的簽名/加密密鑰所需的公共證書。例如，如果您正在使用Shibboleth IdP，則元數(shù)據(jù)文件位于以下位置：   https://<IdPHOST>:8080/idp/shibboleth.

注意

有關如何從  IDP  獲取元數(shù)據(jù)  XML  文件的指導，請與  IDP  管理員聯(lián)系或查閱文檔以獲取所使用  IDP  版本的信息。

? 用來標識Cloudera Manager實例的實體ID

? 如何在SAML身份認證響應中傳遞用戶ID：

o 作為屬性。如果是這樣，則使用什么標識符。

o 作為NameID。

? 建立Cloudera Manager角色的方法：

o 從身份認證響應中的屬性：

? 該屬性將使用什么標識符

? 將傳遞什么值來指示每個角色

o 從每次使用都會被調(diào)用的外部腳本中：

? 該腳本將用戶標識設為$ 1

? 該腳本設置退出代碼以反映成功的身份認證。退出代碼的有效值在0到127之間。這些值在Cloudera Manager中用于將經(jīng)過身份認證的用戶映射到Cloudera Manager中的用戶角色。

 

配置Cloudera Manager

1)    登錄到  Cloudera Manager  管理控制臺。

2) 選擇管理>設置。

3) 為 類別過濾器選擇外部身份認證以顯示設置。

4) 將“外部身份認證類型”屬性設置為SAML（“ SAML”將忽略“身份認證后端順序”屬性）。

5) 將“ SAML IDP元數(shù)據(jù)文件的路徑”屬性設置為指向IDP元數(shù)據(jù)文件。

6) 將“ SAML Keystore文件的路徑”屬性設置為指向先前準備的Java Keystore。

7) 在“ SAML Keystore密碼”屬性中，設置Keystore密碼。

8) 在“ SAML簽名/加密專用密鑰的別名”屬性中，設置用于標識供Cloudera Manager使用的專用密鑰的別名。

9) 在“ SAML簽名/加密私鑰密碼”屬性中，設置私鑰密碼。

10) 在以下情況下，設置SAML實體ID屬性：

? 同一IDP使用了多個Cloudera Manager實例（每個實例需要一個不同的實體ID）。

? 實體ID由組織政策分配。

11) 在“   SAML  響應中的用戶  ID的  源  ”屬性中，設置是從屬性還是從NameID獲取用戶ID。

如果將使用屬性，請在用戶ID屬性的SAML屬性標識符中設置屬性名稱。默認值為用于用戶ID的常規(guī)OID，因此可能不需要更改。

12) 在“   SAML  角色分配機制  ”屬性中，設置是從屬性還是從外部腳本完成角色分配。

? 如果將使用屬性：

o 如果需要，在用戶角色屬性的SAML屬性標識符中，設置屬性名稱。默認值為用于OrganizationalUnits的常規(guī)OID，因此可能無需更改。

? 如果將使用外部腳本，請在“ SAML角色分配腳本的路徑”屬性中設置該腳本的路徑。確保腳本是可執(zhí)行的（可執(zhí)行二進制文件很好-不必是Shell腳本）。

13) 保存更改。Cloudera Manager將運行一組認證，以確保可以找到元數(shù)據(jù)XML和 Keystore，并且密碼正確。如果看到認證錯誤，請在繼續(xù)操作之前更正問題。

14) 重新啟動Cloudera Manager Server。

在為Cloudera Manager配置身份認證之后，請為經(jīng)過身份認證的用戶配置授權。通過將經(jīng)過身份認證的用戶映射到Cloudera Manager用戶角色來完成此操作。有關更多信息，請參閱《  Cloudera Manager  用戶角色》 。

 

配置IDP

重新啟動Cloudera Manager Server之后，它將嘗試重定向到IDP登錄頁面，而不顯示正常的CM頁面。  這可能成功也可能不成功，具體取決于IDP的配置方式。  無論哪種情況，都需要將IDP配置為識別CM，然后身份認證才能真正成功。  此過程的詳細信息特定于每個IDP實施-有關詳細信息，請參閱IDP文檔。  如果您正在使用Shibboleth IdP，則  此處  提供了有關配置IdP與服務提供商進行通信的信息。  

1) 從中下載Cloudera Manager的SAML元數(shù)據(jù)XML文件 。  http://  hostname  :7180/saml/metadata

2) 檢查元數(shù)據(jù)文件，并確保文件中包含的所有URL都可以被用戶的Web瀏覽器解析。IDP將在此過程中的各個時間點將Web瀏覽器重定向到這些URL。如果瀏覽器無法解決它們，則身份認證將失敗。如果URL不正確，則可以手動修復XML文件或?qū)M配置中的Entity Base URL設置為正確的值，然后重新下載該文件。

3) 使用IDP提供的任何機制將此元數(shù)據(jù)文件提供給IDP。

4) 確保IDP有權訪問必需的任何公共證書，以認證先前提供給Cloudera Manager的私鑰。

5) 確保將IDP配置為使用Cloudera Manager配置為期望的屬性名稱提供用戶ID和角色（如果相關）。

6) 確保對IDP配置的更改已生效（可能需要重新啟動）。

 

驗證身份認證和授權

1)    返回  Cloudera Manager  管理控制臺并刷新登錄頁面。  

2) 嘗試使用已授權用戶的憑據(jù)登錄。身份認證應該完成，您應該看到Home > Status選項卡。

3) 如果身份認證失敗，您將看到IDP提供的錯誤消息。Cloudera Manager不參與該過程的這一部分，您必須確保IDP正常工作以完成身份認證。

如果身份認證成功，但是用戶無權使用Cloudera Manager，則Cloudera Manager會將他們帶到錯誤頁面，該錯誤頁面會說明情況。如果應該被授權的用戶看到此錯誤，那么您將需要認證其角色配置，并確保通過屬性或外部腳本將其正確傳達給Cloudera Manager。Cloudera Manager日志將提供有關建立用戶角色失敗的詳細信息。如果在角色映射期間發(fā)生任何錯誤，Cloudera Manager將假定用戶未經(jīng)授權。

以上是“如何在Cloudera Manager中使用SAML配置身份認證”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學習更多知識，歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

分享文章：如何在ClouderaManager中使用SAML配置身份認證
分享鏈接：http://www.rwnh.cn/article30/ihjppo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供云服務器、電子商務、網(wǎng)站設計、服務器托管、網(wǎng)站設計公司、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)