1. 在 Microsoft AD FS 中配置 Rancher
在配置 Rancher 以支持 Active Directory Federation Service (AD FS) 之前,你必须在 AD FS 中将 Rancher 添加为 relying party trust(信赖方信任)。
- 以管理用户身份登录 AD 服务器。 
- 打开 AD FS Management 控制台。在 Actions 菜单中选择 Add Relying Party Trust...。然后单击 Start。  
- 选择 Enter data about the relying party manually 作为获取信赖方数据的选项。  
- 为 Relying Party Trust 设置显示名称,例如 - Rancher。 
- 选择 AD FS profile 作为信赖方信任的配置文件。  
- 留空 optional token encryption certificate,因为 Rancher AD FS 不会使用它。  
- 选择 Enable support for the SAML 2.0 WebSSO protocol 并在 Service URL 处输入 - https://<rancher-server>/v1-saml/adfs/saml/acs。 
- 将 - https://<rancher-server>/v1-saml/adfs/saml/metadata添加为 Relying party trust identifier。 
- 本教程不涉及多重身份认证。如果你想配置多重身份认证,请参见 Microsoft 文档。  
- 在 Choose Issuance Authorization RUles 中,你可以根据用例选择任何一个可用选项。但是考虑到本指南的目的,请选择 Permit all users to access this relying party。  
- 检查所有设置后,选择 Next 来添加信赖方信任。  
- 选择 Open the Edit Claim Rules...。然后单击 Close。  
- 在 Issuance Transform Rules 选项卡中,单击 Add Rule...。  
- 在 Claim rule template 中选择 Send LDAP Attributes as Claims。  
- 将 Claim rule name 设置为所需的名称(例如 - Rancher Attributes)并选择 Active Directory 作为 Attribute store。创建对应下表的映射:- LDAP 属性 - 传出声明类型 - Given-Name - Given Name - User-Principal-Name - UPN - Token-Groups - Qualified by Long Domain Name - Group - SAM-Account-Name - 名称  
- 从 AD 服务器的以下位置下载 - federationmetadata.xml:
https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml
结果:你已将 Rancher 添加为依赖信任方。现在你可以配置 Rancher 来使用 AD。