如何通过 Azure AD 对 Marklogic 管理界面 (8001) 进行身份验证

Question

我正在使用 MarkLogic server 10。管理界面将身份验证设置为“摘要”。所以，当我打开https://localhost:8001 时，它会提示输入用户名/密码并打开管理界面。

我需要使用 Azure AD 进行此身份验证。因此，我选择了 SAML 集成而不是“摘要”。 SAML 集成已完成，我将“内部安全性”设置为 false。

问题是在完成 azure 身份验证后点击https://localhost:8001 URL 时，出现错误。它说“SEC-NOADMIN: (err:FOER0000) 用户没有管理员角色。”。

我的理解是发生这种情况是因为我的 Azure AD 用户在 Marklogic 中未被识别。我相信我必须在现有 MarkLogic 用户和我的 AD 用户之间进行映射。虽然问题是我做不到。我探索了文档。有适用于 LDAP 和 Kerberos 的解决方案，但没有适用于 Azure AD 的解决方案。

有人可以确认 Azure 身份验证在 Marklogic 管理员上是否可行吗？如果是，请帮助我知道解决方案。

提前谢谢大家。

Answer 1

当您使用 Azure AD 等外部身份验证时，该服务将进行身份验证，但它也会告诉 MarkLogic 您是谁。返回的 SAML 信息将与您所属的组的名称或 ID（取决于配置）一起返回。您可能缺少的部分是这些组和 MarkLogic 角色之间的联系。

在 MarkLogic 管理 UI 中，查看角色定义。您会看到有一个名为“外部名称”的部分。您需要为管理员角色添加一个外部名称，该名称与应授予该角色访问权限的 AD 组匹配。同样，这可能是名称或 ID，具体取决于您的外部安全对象的配置方式。

参考资料：

• Assigning an External Name to a Role
• SAML Authentication