使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南


JFrog任务控制中心。x文档
要获得最新版本,请访问JFrog统一平台


跳到元数据的末尾
进入元数据的开始

概述

Access Federation通过在联邦服务之间同步所有安全实体(用户、组、权限和访问令牌),让您从一个位置控制对全局JFrog Artifactory、JFrog Xray和JFrog Distribution服务的所有或任何子集的访问。一旦建立了访问联合,您就可以从一个地方管理联合服务中的所有安全实体。

JFrog Mission Control允许您设置您想要在不同联邦服务之间同步的安全实体,并提供了快速简单的配置来设置全网格或星型拓扑。同步过程由各种不同的参数调节,这些参数的默认值已被设置为满足大多数安装。要了解这些不同的参数以及如何修改它们,请参阅访问联合会在JFrog Artifactory用户指南。

需求

  • 需要Enterprise+ license。
  • 与您想要联合的Access服务捆绑在一起的Artifactory服务需要在线并由任务控制中心管理。
  • 在Artifactory 6.0及以上版本上支持Access Federation。
  • 需要任务控制管理权限。
  • 需要配置从任务控制进行认证的访问

页面内容


建立接入联盟

通过任务控制建立访问联合需要以下主要步骤:

  1. 配置来自任务控制的认证访问
    在此步骤中,您将启用Mission Control向连接到其控制下的Artifactory服务的任何Access服务发送命令。
  2. 建立信任圈
    在此步骤中,您将通过向同步目标服务提供同步源服务的根证书来建立访问联合拓扑的基础。
  3. 配置接入联合拓扑
    在此步骤中,您将建立所需的连接,以便源Artifactory服务能够将安全实体同步到目标服务(即那些已经提供了源服务的根证书的服务)。

配置来自任务控制的认证访问

通过任务控制配置访问联合需要将Artifactory服务设置为身份验证提供者.与该Artifactory一起安装的Access服务是任务控制在通过任务控制UI配置Access Federation时设置的服务。

配置JFrog Access从不同的服务器进行身份验证

默认情况下,Access服务只接受从Access服务所在的同一服务器发出的配置命令,然而,任务控制和Artifactory(因此,对应的Access服务)通常安装在不同的服务器上。因此,为了允许通过任务控制配置访问联合,首先需要配置对应的Access服务,以便从任务控制进行身份验证中描述的步骤设置认证请参见《JFrog接入用户指南》,配置任务控制所在服务器的IP地址。

建立信任圈

如果源被目标信任,任务控制只能配置从源Artifactory服务到目标服务的安全实体同步。这种信任是通过向目标服务提供源服务的根证书来建立的。

在配置接入联合拓扑之前

在继续配置访问联合拓扑的下一步之前,请确保为目标服务提供了源服务所需的根证书。

复制源服务的根目录证书,美元ARTIFACTORY_HOME /访问/ etc /键/ root到每个目标服务美元ARTIFACTORY_HOME /访问/ etc /键/信任文件夹

例子

设置星型拓扑

考虑应该在星型拓扑中设置三个Access服务的示例,其中Access- a与Access- b和Access- c同步。

在这种情况下,您需要为Access-B和Access-C提供Access-A的根证书,以便A受到B和C的信任。

设置全网格拓扑

考虑一个应该在全网格拓扑中设置的三个Access服务的示例,其中每个服务应该能够将对安全实体的更改同步到其他两个服务。

在这种情况下,您需要为每个Access服务提供其他两个服务的根证书,以便两者都受信任。

配置接入联合拓扑

通过向目标访问服务提供源访问服务的根证书来建立信任圈之后,您需要在任务控制中通过建立关系来配置拓扑。

若要在任务控制中配置访问联合拓扑,请从管理模块,选择Access Federation |配置.任务控制中心将显示它管理的Access (Artifactory)服务列表。

拓扑

要了解更多拓扑信息,请参见示例拓扑

网状拓扑结构

单击,设置接入联合添加网格拓扑。任务控制中心将显示一个向导,将引导您完成该过程的步骤,其中包括:

  1. 选择服务
  2. 选择要同步的安全实体
  3. 总结
选择服务

在此步骤中,选择将成为联邦组一部分的服务。要在联邦组中包括服务,请从可用接入服务列表并使用箭头将它们转移到选定的接达服务列表。

Access Federation -选择服务

选择安全实体

一旦您在联邦组中设置了Artifactory服务,您可以从以下内容中选择应该同步的安全实体集:

  • 用户
  • 权限
  • 访问令牌

只需检查应该同步的实体(默认情况下,它们都是选中的),然后单击下一个

访问联合-选择用于同步的安全实体

总结

最后,任务控制显示你的设置摘要。单击,应用配置完成

任务控制中心将显示行动的结果。

Access Federation结果

上面的示例显示了一个网格拓扑,它允许将安全实体从artifactory1同步到artifactory-edge1、artifactory-edge2和artifactory-edge3。换句话说,artifactory-edge1、artifactory-edge2和artifactory-edge3都提供了artifactory-edge1的根证书,因此信任它作为源。末尾的红色消息并不表示错误,而是表示artifactory1没有提供artifactory-edge1的根证书,因此不能将安全实体从artifactory-edge1同步回artifactory1,这与本例中的星型拓扑一致。


明星拓扑

单击,设置接入联合应用拓扑并选择明星任务控制中心将显示一个向导,将引导您完成该过程的步骤,其中包括:

  1. 选择服务
  2. 选择要同步的安全实体
  3. 总结
选择服务

在此步骤中,选择将成为联邦组一部分的服务。要在联邦组中包括服务,请从可用接入服务列表并使用箭头将它们转移到选定的接达服务列表。

选择安全实体

一旦您设置了联邦组中的Artifactory服务,就可以继续选择实体类型TAB选项,设置从源站点同步到目标站点的实体类型。

从Mission Control版本3.2开始,在从源服务到目标服务设置实体类型时,您拥有了更大的灵活性。

同步安全实体。

  1. 选择为目标分配实体类型的方法。
    • 手动将实体分配给不同的目标:这提供了它所允许的灵活性您可以将不同的实体类型分配给不同的目标。例如:您决定将Access A的用户和组同步到Access B,选择只将Access A的用户、组和权限同步到Access C,而将Access A的所有实体同步到Access e。仅适用于源Artifactory 6.3及以上版本。
    • 应用于所有目标:对于Artifactory 6.2以下的版本,目标列表是禁用的,只有实体类型选择是可用于配置的。所做的任何选择都适用于所有目标,选择“权限”则适用于所有权限。选择星形拓扑时启用此选项。
  2. 选择需要同步的实体类型。
    • 用户

    • 权限
    • 包含/排除模式:适用于6.2版以上的Artifactory。在为目标分配实体类型时,您可以使用包含/排除正则表达式指定要同步的特定权限。
    • 令牌

下面的示例显示了如何手动选择特定的实体类型来目标服务:


下面的示例显示了如何自动将所选的Entity类型自动应用到所有目标:

总结

最后,任务控制显示你的设置摘要。单击,应用配置完成

任务控制中心将显示行动的结果。

上面的例子展示了一个星型拓扑,它允许将安全实体从artifactory1同步到artifactory-edge1、artifactory-edge2和artifactory-edge3。换句话说,artifactory-edge1、artifactory-edge2和artifactory-edge3都提供了artifactory-edge1的根证书,因此信任它作为源。


REST API

任务控制支持管理访问联合会通过REST API。

  • 没有标签