Users Guide
Table Of Contents
- Dell EMC OpenManage Enterprise 版本 3.7 用户指南
- 目录
- 表
- 关于 Dell EMC OpenManage Enterprise
- OpenManage Enterprise 中的安全功能
- 安装 OpenManage Enterprise
- OpenManage Enterprise 使用入门
- OpenManage Enterprise 图形用户界面概述
- OpenManage Enterprise 门户主页
- 查找要监测或管理的设备
- 通过使用服务器启动的查找功能来自动查找服务器
- 创建设备查找作业
- 用于查找设备的协议支持值表
- 查看设备查找作业详细信息
- 编辑设备查找作业
- 运行设备查找作业
- 停止设备查找作业
- 通过从 .csv 文件导入数据来指定多个设备
- 全局排除范围
- 为创建服务器查找作业指定查找模式
- 创建服务器的自定义设备查找作业协议 - 查找协议的附加设置
- 为创建机箱查找作业指定查找模式
- 创建机箱的自定义设备查找作业协议 – 查找协议的附加设置
- 为创建戴尔存储设备查找作业指定查找模式
- 为创建网络交换机查找作业指定查找模式
- 创建 HTTPS 存储设备的自定义设备查找作业协议 - 查找协议的附加设置
- 为 SNMP 设备创建自定义设备查找作业模板
- 为创建 MULTIPLE 协议查找作业指定查找模式
- 删除设备查找作业
- 管理设备和设备组
- 管理设备资源清册
- 管理设备固件和驱动程序
- 管理设备部署模板
- 管理配置文件
- 管理设备配置合规性
- 监视和管理设备警报
- 监视审核日志
- 使用作业进行设备控制
- 管理设备保修
- 报告
- 管理 MIB 文件
- 管理 OpenManage Enterprise 设备设置
- 配置 OpenManage Enterprise 网络设置
- 管理 OpenManage Enterprise 用户
- 终止用户会话
- OpenManage Enterprise 中的目录服务集成
- 使用 OpenID Connect 提供程序登录 OpenManage Enterprise
- 将 OpenID Connect 提供程序添加到 OpenManage Enterprise
- 在 PingFederate 中配置 OpenID Connect 提供程序策略,以提供基于角色的 OpenManage Enterprise 访问权限
- 在 Keycloak 中配置 OpenID Connect 提供程序策略,以提供基于角色的 OpenManage Enterprise 访问权限
- 测试 OpenManage Enterprise 向 OpenID Connect 提供程序的注册状态
- 在 OpenManage Enterprise 中编辑 OpenID Connect 提供程序的详细信息
- 启用 OpenID Connect 提供程序
- 删除 OpenID Connect 提供程序
- 禁用 OpenID Connect 提供程序
- 安全证书
- 管理控制台首选项
- 设置登录安全性属性
- 自定义警报显示
- 配置 SMTP、SNMP 和 Syslog 警报
- 管理传入警报
- 管理保修设置
- 检查并更新 OpenManage Enterprise 及可用插件的版本
- 执行远程命令和脚本
- OpenManage Mobile 设置
- 其他参考和字段说明
d. (可选)证书验证复选框 - 您可以选中该复选框然后上传 OIDC 提供程序的证书,方法是单击浏览并找到证书,或者将证书拖
放到虚线框中。
e. (可选)测试连接 - 单击测试 URI 和 SSL 连接以测试与 OpenID Connect 提供程序的连接。
注: 测试连接不依赖于用户名和密码或初始访问令牌详细信息,因为它只检查提供的查找 URI 的有效性。
f. (可选)“启用”复选框 - 您可以选中该复选框以允许授权客户端访问令牌登录到设备。
3. 单击完成。
在“应用程序设置 > 用户 > OpenID Connect 提供程序”页面中列出了新添加的 OpenID Connect 提供程序,并且客户端 ID 可以位于
右侧窗格中。
后续步骤:
在 PingFederate 中配置 OpenID Connect 提供程序策略,以提供基于角色的 OpenManage Enterprise 访问权限 页面上的 136
在 Keycloak 中配置 OpenID Connect 提供程序策略,以提供基于角色的 OpenManage Enterprise 访问权限 页面上的 136
在 PingFederate 中配置 OpenID Connect 提供程序策略,以提供基于角
色的 OpenManage Enterprise 访问权限
要启用使用 PingFederate 的 OpenManage Enterprise OpenID Connect 登录,您必须添加范围 dxcua(用户验证的戴尔扩展声明)并
将其映射到客户端 ID,然后按如下所示定义用户权限:
警告: 在向 OIDC 提供程序 PingFederate (PingIdentity) 重新注册客户端时,用户角色和范围会重置为“默认值”。此问题可
能会将非管理员角色(DM 与查看者)的权限和范围重置为管理员的权限和范围。在设备升级、网络配置更改或 SSL 证书更改
的情况下,将触发向 OIDC 提供程序重新注册设备控制台。
要在上述任何重新注册事件后避免出现安全问题,管理员必须在 PingFederate 站点上重新配置所有 OpenManage Enterprise
客户端 ID。此外,我们强烈建议使用 Pingfederate 仅为管理员用户创建客户端 ID,直到此问题得到解决为止。
注:
● 默认的分配算法应为 RS256(使用 SHA-256 的 RSA 签名)。
1. 在 OAuth 设置中的“范围管理”下添加名为 dxcua 的“独占”或“默认”范围。
2. 按照以下步骤映射在 OpenID Connect 策略 > 管理策略中创建的范围:
a. 启用在令牌中包括用户信息
b. 在属性范围中,添加范围和属性值为 dxcua。
c. 在“合同履行”中,添加 dxcua 并选择类型为“文本”。然后,使用以下属性之一定义 OpenManage Enterprise OpenID
Connect 提供程序登录的用户权限:
i. 管理员:dxcua : [{“Role": "AD"}]
ii. 设备管理者:dxcua : [{“Role": "DM"}]
注: 要将设备管理者的访问权限限制为选择设备组,假设 G1 和 G2,请在 OpenManage Enterprise 中使用 dxcua :
[{“Role": "DM", "Entity":"G1, G2"}]
iii. 查看者:dxcua : [{“Role": "VE"}]
d. 如果在 OpenManage Enterprise 中注册客户端后配置了“独占”范围,请在 PingFederate 中编辑已配置的客户端,并启用创
建的“dxcua”独占范围。
3. 应在 PingFederate 中为 OpenManage Enterprise 客户端注册启用动态客户端注册。如果在 OpenID Connect 提供程序客户端设置中
未选择“需要初始访问令牌”选项,注册将使用用户名和密码。如果启用了此选项,则注册将仅使用初始访问令牌。
在 Keycloak 中配置 OpenID Connect 提供程序策略,以提供基于角色的
OpenManage Enterprise 访问权限
要启用使用 Keycloak 的 OpenManage Enterprise OpenID Connect 登录,您必须先添加范围 dxcua 并将其映射到客户端 ID,然后按如
下所示定义用户权限:
注: 在 OpenID Connect 提供程序配置向导中指定的查找 URI 应具有列出的提供程序的有效端点。
1. 在 Keycloak 用户的属性部分中,使用以下属性之一为 OpenManage Enterprise 登录角色定义“键和值”:
● 管理员:dxcua : [{"Role": "AD"}]
● 设备管理者:dxcua : [{"Role": "DM"}]
136 管理 OpenManage Enterprise 设备设置