本文介绍如何将 IBM 存储虚拟化与 Microsoft Entra ID 集成。 将 IBM 存储虚拟化与 Microsoft Entra ID 集成后,可以:
使用 Microsoft Entra ID 控制谁有权访问 IBM 存储虚拟化。 让用户使用其 Microsoft Entra 帐户自动登录到 IBM 存储虚拟化。 在一个中心位置(Azure 门户)管理帐户。
先决条件
本文中概述的方案假定你已具备以下先决条件:
- 已启用 IBM 存储虚拟化单一登录 (SSO) 的订阅。
从库中添加 IBM 存储虚拟化
若要配置 IBM 存储虚拟化与 Microsoft Entra ID 的集成,需要将 IBM 存储虚拟化从库中添加到托管 SaaS 应用列表。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
请导航到 Entra ID>企业应用>新应用。
在“从库中添加”部分中,在搜索框中输入“IBM 存储虚拟化”。
从结果面板中选择“IBM 存储虚拟化”,然后添加该应用。 在该应用添加到租户时等待几秒钟。
配置 Microsoft Entra SSO
按照以下步骤在 Microsoft Entra 管理中心启用 Microsoft Entra SSO。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用程序>IBM Storage Virtualize>单一登录。
在以下部分中执行以下步骤:
选择“转到应用程序”。
复制“应用程序(客户端)ID”,并稍后在 IBM 存储虚拟化端配置中使用它。
导航到左侧菜单上的“身份验证”选项卡,然后执行以下步骤:
在“重定向 URI”文本框中,粘贴从 IBM 存储虚拟化端复制的“重定向 URI”值。
选择“配置”按钮。
导航到左侧菜单上的“证书和机密”选项卡,然后执行以下步骤:
转到“客户端密码”选项卡,然后选择“+ 新建客户端密码”。
在文本框中输入有效的“说明”,根据要求从下拉列表中选择“过期”天数,然后选择“添加”。
添加客户端密码后,会生成“值”。 复制该值并稍后在 IBM 存储虚拟化端配置中使用它。
创建和分配 Microsoft Entra 测试用户
请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。
配置 IBM Storage Virtualize SSO
以下是完成 OAuth/OIDC 联合身份验证设置的配置步骤:
使用以下 URL 登录到 IBM Storage Virtualize 管理员仪表板:
https://tenant.verify.ibm.com/ui/admin在 IBM 安全验证接口中,选择“应用程序 添加应用程序”。
注意
必须将每个系统添加为单独的应用程序。
导航到“常规”选项卡并执行以下步骤:
在“名称”字段中,输入用以识别系统的唯一名称。
在“说明”字段中,输入关于系统的简要说明。
在“公司名称”字段中,输入组织或公司的名称。
导航到“登录”选项卡并执行以下步骤:
输入用于访问系统管理 GUI 的应用程序 URL。
选择“授权代码”和“JWT 持有者”授权类型。
在“客户端 ID”字段中,粘贴从 Entra 页复制的“应用程序 ID”值。
在“客户端密码”字段中,粘贴从 Entra 端的“证书和机密”部分复制的值。
对于用户同意,请选择 “不要求同意 ”按钮。
复制“重定向 URI”,并稍候在 Entra 配置中使用它。
从 JWT 持有者用户标识中选择“用户名”。
确保在 JWT 持有者默认标识源中选择“云目录”。
确保未选中“生成刷新令牌”选项。
确保选中“发送 ID 令牌中的所有已知用户属性”选项。
在“访问策略”下,取消选择“使用默认策略>”选择“编辑”图标>,在所有设备>中选择“始终需要 2FA”,然后选择“确定”。
确保未选中“限制自定义范围”选项。
选择“保存”。
在确认页上,选择“ 确认 ”为系统启用单一登录。