Sandstorm与Active Directory集成配置指南-优快云博客

本文链接：https://blog.youkuaiyun.com/gitblog_00278/article/details/148465260

Sandstorm与Active Directory集成配置指南

sandstorm Sandstorm is a self-hostable web productivity suite. It's implemented as a security-hardened web app package manager. 项目地址: https://gitcode.com/gh_mirrors/sa/sandstorm

前言

在企业环境中，统一身份认证是IT基础设施的重要组成部分。本文将详细介绍如何将Sandstorm平台与Microsoft Active Directory（AD）进行集成，实现企业级单点登录（SSO）功能。通过这种集成，企业员工可以使用现有的AD账户直接登录Sandstorm，无需额外创建和管理账号。

集成方案概述

Sandstorm支持两种主要的AD集成方式：

SAML 2.0集成（推荐）
- 支持Windows Azure AD和Windows Server AD
- 提供完整的单点登录体验
- Sandstorm不会接触用户密码，安全性更高
- 支持多因素认证
LDAP绑定认证
- 仅作为备选方案
- 安全性低于SAML方案
- 配置相对简单但功能有限

Windows Azure AD集成配置

前置条件

有效的Windows Azure AD订阅
管理员权限
Sandstorm服务器已配置HTTPS

详细步骤

1. 创建应用程序

登录Azure经典门户(manage.windowsazure.com)
在侧边栏选择"Active Directory"
选择要使用的目录
点击顶部导航栏的"应用程序"
选择底部工具栏的"添加"(不是"+新建")

2. 配置自定义应用

选择"从应用库添加应用程序"
在侧边栏选择"自定义"
选择"添加我的组织正在使用的未列出的应用程序"
输入名称"Sandstorm"并确认

3. 配置单点登录

选择"配置单点登录"
选择"Microsoft Azure AD单点登录"
在Sandstorm的SAML配置中：
- 将"实体ID"设置为完整的服务器URL(如https://example.sandcats.io)
- 复制"服务URL"(如https://example.sandcats.io/_saml/validate/default)

4. 证书配置

在Azure AD页面下载Base64编码的证书
用文本编辑器打开证书文件
将内容粘贴到Sandstorm的"SAML证书"配置项中

5. 完成配置

复制Azure AD中的"单点登录服务URL"到Sandstorm配置
确认配置并完成向导
分配用户访问权限

验证测试

配置完成后，建议：

使用测试账户尝试登录
检查用户属性是否正确传递
验证会话超时行为是否符合预期

Windows Server AD集成配置

前置条件

已安装并配置AD FS服务
服务器证书有效
网络连通性良好

详细步骤

1. 配置AD FS

打开AD FS管理控制台
导航至"信任关系 > 信赖方信任"
添加新的信赖方信任
选择"在线或本地网络发布的数据"
输入Sandstorm的元数据URL(如https://example.sandcats.io/_saml/config/default)

2. 配置声明规则

添加规则"发送LDAP属性作为声明"
- 属性存储：Active Directory
- LDAP属性：E-Mail Addresses
- 传出声明类型：E-Mail Address
添加规则"转换传入声明"
- 传入声明类型：E-Mail Address
- 传出声明类型：Name ID
- 传出名称ID格式：Persistent Identifier