如何使用Access Federation将安全对象从本地迁移到SaaS Artifactory

在某些情况下，组织可能希望将用户、组、权限和访问令牌从本地Artifactory迁移到SaaS Artifactory。我们可以使用Access Federation(仅由E+许可证支持)特性来完成此任务。

确保on-prem和SaaS Artifactory都是E+订阅，因为Access Federation是E+独有的功能

注意:请使用Access Federation将本地Artifactory实例升级到7.29.7以上版本以支持此迁移

有两种方法可以执行此迁移:

方法-1:本地接入联合:

在这种方法中，我们相信Access Federation在本地可用，我们将把SaaS实例连接到本地实例。必须采取的步骤如下:

1.确保本地Artifactory的版本至少为7.29.7。(在这个版本下面，我们需要加入。SaaS实例的密钥(出于安全考虑，不可能共享)

2.通过导航到“管理”→“身份和访问”→“访问令牌”→“生成令牌”→配对令牌，从SaaS Artifactory实例生成配对令牌，并将其复制到安全位置，以便我们可以在接下来的步骤中使用它。

3.在本地Artifactory实例(7.29.7以上版本)上转到“Administration”选项卡→“Platform deployment”→“Registered JPDs”→“New Platform deployment”，并确保输入SaaS Artifactory实例的适当参数以将SaaS实例添加到平台:
名称:此平台部署的唯一逻辑名称(例如:—名称:saas)
位置:选择SaaS Artifactory实例所在的位置(例如，美国Sunnyvale)。
JFrog平台URL: SaaS人工URL(例如:https://testing.jfrog.io (https://. JFrog .io))
输入平台URL后，点击“获取服务器详细信息”，粘贴步骤2中生成的“配对令牌”，然后点击“添加”。

如果您的SaaS实例启用了白名单功能，请确保将本地实例IP地址添加到IP白名单中myjfrog网站。

4.添加SaaS实例后，我们应该在“已注册JPDs”页面中看到添加的平台:

5.现在我们应该在本地和SaaS Artifactory实例之间建立一个信任圈，为此，使用JFrog Support打开一个票证并提供根。从本地实例获取CRT文件，获取方式如下:
a)可以在下面找到JFROG_HOME美元/ artifactory / var / etc /访问/键/根。CRT(需要对服务器进行物理访问)
B)通过打电话给获取根证书REST API
请确保提供根文件。按照本文中的步骤，将JFrog的支持转换为crt://www.si-fil.com/knowledge-base/transferring-my-sensitive-content-to-jfrog-using-public-key-encryption/

6.在“JFrog Support”完成两个实例(on-prem和SaaS)之间的信任循环后，从on-prem实例进入“Administration”选项卡→“Identity and Access”→“Access Federation”→“Apply topology”→点击“Star”或“Mesh”拓扑(在本例中，我们可以看到星型拓扑)。

7.现在，在Access Federation设置页面中，选择本地实例作为源，选择SaaS Artifactory实例作为目标

8.选择源和目标后，单击“选择实体类型”，手动选择是迁移到所有目标还是迁移到特定目标。然后，选择要迁移的安全对象。如果只希望迁移令牌，则默认情况下还会选择用户、组和权限。

9.现在单击摘要以查看配置的摘要

10.单击“Finish”之后，我们可以看到迁移发生了，并且看到了成功的迁移消息

完成上述步骤后，我们最终可以成功地看到SaaS实例上的安全对象。

方法2 SaaS接入联邦:

此方法与第一种方法类似，只是我们从SaaS实例执行所有步骤(除了第2步，我们从本地获取配对令牌，并在将本地Artifactory实例添加到SaaS时使用它)。
在此方法中，我们假设Access Federation作为SaaS服务可用，并且我们将使用相同的步骤将本地实例添加到SaaS实例中。但是，在此过程中必须考虑以下因素:

1. 确保本地实例的版本高于7.29.7，这样当我们从SaaS Artifactory注册本地平台时，就可以使用“配对令牌”，默认情况下，该令牌只在高于7.29.7的版本中可用。
2. 如果本地Artifactory有防火墙，请将SaaS实例NAT IP地址添加到防火墙中。遵循文档以确定SaaS Artifactory所在区域的IP地址。

企业订阅的安全对象迁移

注意:如果SaaS实例上有任何现有用户、组、权限和访问令牌，那么通过执行访问导出和导入步骤，Target SaaS实例上的现有用户将被删除，我们将只看到已导入的安全对象。

对于企业订阅类型，我们支持通过以下步骤将用户、组、权限和访问令牌从本地导入到SaaS实例://www.si-fil.com/knowledge-base/how-to-import-access-data/．因此，正如本文中提到的，我们需要通过运行以下命令从本地实例导出访问数据:
——人工制品7x: Creates an access.backup..json file with the Access configuration as $JFROG_HOME/artifactory/var/backup/accesscurl -uadmin:password -XPOST "http://localhost:8082/access/api/v1/system/backup/export"—7.12.0及以上版本:需要一个有效的管理范围令牌。API不再支持基本身份验证。curl -H "Authorization: Bearer " -XPOST "http://localhost:8082/access/api/v1/system/backup/export"从$JFROG_HOME/artifactory/var/backup/access位置从本地实例收集访问数据后，通过打开票据并按照本文中的步骤传输文件，安全地与JFrog支持共享该文件://www.si-fil.com/knowledge-base/transferring-my-sensitive-content-to-jfrog-using-public-key-encryption/。

注意:以下步骤将由jfrog支持团队执行
在与JFrog支持团队打开票据并提供access.backup后。JFrog支持团队按照以下步骤替换访问数据备份文件中的服务ID:
将通过运行以下命令查找SaaS Artifactory实例的服务ID:curl -uadmin:password -XGET "https://.jfrog.io/artifactory/api/system/service_id"
回应:
jfrt@01e2rdwgsq8k8c1mbtvdav04xg—将access.backup.. xml文件中所有的本地服务ID替换为SaaS服务ID。使用sed -i 's/jfrt@on-prem/jfrt@saas/g' access.backup.. json文件，即通过将本地Artifactory的服务ID替换为SaaS来修改本地Artifactory的引导文件。json例如:Sed -i 's/jfrt@01e719bdvrxydk0s7nw96n0kb3/jfrt@01e719b6v36b2k133v4yef14zx/g' access.bootstrap.json
此文件中的权限与要允许的服务ID绑定访问联合会，如果交换没有发生，则不会导入权限。

然后，JFrog支持团队将访问数据文件重命名为access.bootstrap.json，并将其复制到SaaS Artifactory实例中，然后运行以下命令将访问数据导入到SaaS实例中:curl -H "Authorization: Bearer " -XPOST "https://.jfrog.io/access/api/v1/system/backup/import"导入后将执行SaaS Artifactory的重启，然后我们应该能够看到SaaS实例上的所有安全对象。