如何通过Azure AD认证Marklogic管理接口(8001)

Question

我正在使用MarkLogic服务器10。管理界面有身份验证设置作为“摘要”。因此，当我打开https://localhost:8001时，它会提示输入用户id/密码，并打开管理界面。

我需要使用Azure AD进行身份验证。因此，我选择了SAML集成，而不是"Digest“。SAML集成已经完成，我将“内部安全”设置为false。

问题是，在完成azure身份验证之后，当https://localhost:8001 URL被击中时，我会得到一个错误。它说："SEC-NOADMIN：(err: does 0000)用户不具有管理角色。“

我的理解是，它之所以发生，是因为我的Azure AD用户在Marklogic中没有被识别。我认为我必须在现有的MarkLogic用户和我的AD用户之间进行映射。但问题是我做不到。我研究了文档。有LDAP和Kerberos的解决方案，但是Azure AD没有解决方案。

请有人确认Azure认证是否可以在Marklogic管理上完成吗？如果是，请帮助我知道解决方案。

先谢谢大家。

Answer 1

当您使用外部身份验证(如Azure )时，该服务将进行身份验证，但它也会告诉MarkLogic一些关于您是谁的信息。返回的SAML信息将返回您所属组的名称或ID(取决于配置)。您可能缺少的部分是这些组与MarkLogic角色之间的连接。

在MarkLogic管理UI中，查看角色定义。您将看到有一个名为“外部名称”的部分。您需要为管理角色添加一个外部名称，该名称与应该授予对此角色的访问权限的AD组相匹配。同样，这可能是一个名称或ID，这取决于您的外部安全对象的配置方式。

参考文献：

• 为角色分配外部名称
• SAML认证