Skip to main content
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Multi-Faktor-Authentifizierung (MFA) aktivieren

Beitragende
PDFs

Um MFA-Funktionen zu aktivieren, sollten Sie einige Schritte im Active Directory Federation Service (AD FS)-Server und im SnapCenter-Server durchführen.

Was Sie brauchen

  • Der Windows Active Directory Federation Service (AD FS) sollte in der jeweiligen Domäne ausgeführt werden.

  • Sie sollten über beliebige von AD FS unterstützte Multi-Faktor-Authentifizierungsdienste wie Azure MFA, Cisco Duo usw. verfügen.

  • Der SnapCenter- und AD-FS-Server-Zeitstempel sollte unabhängig von der Zeitzone gleich sein.

  • Beschaffung und Konfiguration des autorisierten CA-Zertifikats für den SnapCenter-Server.

    CA-Zertifikat ist aus folgenden Gründen obligatorisch:

    • Stellt sicher, dass die ADFS-F5-Kommunikation nicht unterbrochen wird, da die selbst signierten Zertifikate auf Knotenebene eindeutig sind.

    • Stellt sicher, dass bei Upgrade, Reparatur oder Disaster Recovery (DR) in einer Standalone- oder Hochverfügbarkeitskonfiguration das selbstsignierte Zertifikat nicht wiederhergestellt wird, wodurch MFA neu konfiguriert werden kann.

    • Stellt IP-FQDN-Auflösungen sicher.

      Informationen zum CA-Zertifikat finden Sie unter "ZertifikatCSR-Datei erstellen".

Über diese Aufgabe

  • SnapCenter unterstützt SSO-basierte Anmeldungen, wenn andere Applikationen mit demselben AD FS konfiguriert werden. In bestimmten AD FS-Konfigurationen erfordert SnapCenter möglicherweise aus Sicherheitsgründen die Benutzerauthentifizierung in Abhängigkeit von der Persistenz der AD FS-Session.

  • Die Informationen zu den Parametern, die mit dem Cmdlet und deren Beschreibungen verwendet werden können, können durch Ausführen von Get-Help Command_Name abgerufen werden. Alternativ können Sie auch auf die verweisen "SnapCenter Software Cmdlet Referenzhandbuch".

Schritte

  1. Stellen Sie eine Verbindung zum Active Directory Federation Services (AD FS)-Host her.

  2. Laden Sie die AD FS Federation-Metadatendatei von herunter "https://<host FQDN>/FederationMetadaten/2007-06/FederationMetadata.XML“

  3. Kopieren Sie die heruntergeladene Datei auf SnapCenter-Server, um die MFA-Funktion zu aktivieren.

  4. Melden Sie sich bei SnapCenter Server als SnapCenter-Administrator-Benutzer über PowerShell an.

  5. Generieren Sie mithilfe der PowerShell-Sitzung die SnapCenter MFA-Metadatendatei mit dem Cmdlet New-SmMultifactorAuthenticationMetadata -Path.

    Der Parameter Path gibt den Pfad an, in dem die MFA-Metadatendatei im SnapCenter-Server-Host gespeichert werden soll.

  6. Kopieren Sie die generierte Datei auf den AD FS-Host, um SnapCenter als Client-Einheit zu konfigurieren.

  7. Aktivieren Sie MFA für SnapCenter-Server mit dem Cmdlet set-SmMultiFactorAuthentication -enable -Path.

    Der Parameter PATH gibt den Speicherort der XML-Metadatendatei AD FS MFA an, die in Schritt 3 auf den SnapCenter-Server kopiert wurde.

  8. (Optional) Überprüfen Sie den MFA-Konfigurationsstatus und die Einstellungen mit dem Cmdlet get-SmMultiFactorAuthentication.

  9. Gehen Sie zur Microsoft Management Console (MMC), und führen Sie die folgenden Schritte aus:

    1. Klicken Sie Auf Datei > Snapin Hinzufügen/Entfernen.

    2. Wählen Sie im Fenster Snap-ins hinzufügen oder entfernen die Option Zertifikate und klicken Sie dann auf Hinzufügen.

    3. Wählen Sie im Snap-in-Fenster Zertifikate die Option Computerkonto aus und klicken Sie dann auf Fertig stellen.

    4. Klicken Sie Auf Konsolenwurzel > Zertifikate – Lokaler Computer > Persönlich > Zertifikate.

    5. Klicken Sie mit der rechten Maustaste auf das CA-Zertifikat, das an SnapCenter gebunden ist, und wählen Sie dann Alle Aufgaben > Privater Schlüssel verwalten aus.

    6. Führen Sie auf dem Berechtigungsassistenten die folgenden Schritte aus:

      1. Klicken Sie Auf Hinzufügen

      2. Klicken Sie auf Locations und wählen Sie den entsprechenden Host aus (Hierarchieoberst).

      3. Klicken Sie im Popup-Fenster Locations auf OK.

      4. Geben Sie im Feld Objektname ‘IIS_IUSRS’ ein, und klicken Sie auf Namen überprüfen und klicken Sie auf OK.

        Wenn die Prüfung erfolgreich war, klicken Sie auf OK.

  10. Öffnen Sie im AD FS-Host den AD FS-Managementassistenten, und führen Sie die folgenden Schritte aus:

    1. Klicken Sie mit der rechten Maustaste auf vertraut auf Partei > Vertrauensbeschuss hinzufügen > Start.

    2. Wählen Sie die zweite Option aus, und durchsuchen Sie die SnapCenter MFA-Metadatendatei und klicken Sie auf Weiter.

    3. Geben Sie einen Anzeigenamen an und klicken Sie auf Weiter.

    4. Wählen Sie die Richtlinien zur Zugriffskontrolle nach Bedarf und klicken Sie auf Weiter.

    5. Legen Sie die Einstellungen auf der nächsten Registerkarte auf Standard fest.

    6. Klicken Sie Auf Fertig Stellen.

      SnapCenter wird jetzt als vertrauensanzeige-Partei mit dem angegebenen Anzeigenamen dargestellt.

  11. Wählen Sie den Namen aus, und führen Sie die folgenden Schritte aus:

    1. Klicken Sie Auf Richtlinie Zur Bearbeitung Von Forderungen.

    2. Klicken Sie auf Regel hinzufügen und klicken Sie auf Weiter.

    3. Geben Sie einen Namen für die Forderungsregel an

    4. Wählen Sie Active Directory als Attributspeicher aus.

    5. Wählen Sie das Attribut als Benutzer-Principal-Name und den ausgehenden Antragsart als Name-ID aus.

    6. Klicken Sie Auf Fertig Stellen.

  12. Führen Sie die folgenden PowerShell-Befehle auf dem ADFS-Server aus.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Anzeigename der Treueparty >’ -SigningCertificateRevisionCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Anzeigename der Treueparty >’ -VerschlüsselungZertifikateRevisionCheck Keine

  13. Führen Sie die folgenden Schritte durch, um zu bestätigen, dass die Metadaten erfolgreich importiert wurden.

    1. Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauensbesteller und wählen Sie Eigenschaften.

    2. Stellen Sie sicher, dass die Felder Endpoints, Identifikatoren und Signatur ausgefüllt sind.

Die SnapCenter MFA-Funktion kann auch über REST-APIs aktiviert werden.

Nach Ihrer Beendigung

Schließen Sie nach dem Aktivieren, Aktualisieren oder Deaktivieren der MFA-Einstellungen in SnapCenter alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um sich erneut anzumelden. Dadurch werden die vorhandenen oder aktiven Session-Cookies gelöscht.

Informationen zur Fehlerbehebung finden Sie unter "Gleichzeitige Anmeldeversuche auf mehreren Registerkarten zeigen MFA-Fehler an".

AD FS MFA-Metadaten aktualisieren

Sie sollten die AD FS MFA-Metadaten in SnapCenter aktualisieren, sobald es Änderungen im AD FS-Server gibt, wie z. B. Upgrade, CA-Zertifikatverlängerung, DR usw.

Schritte

  1. Laden Sie die AD FS Federation-Metadatendatei von herunter "https://<host FQDN>/FederationMetadaten/2007-06/FederationMetadata.XML“

  2. Kopieren Sie die heruntergeladene Datei auf SnapCenter-Server, um die MFA-Konfiguration zu aktualisieren.

  3. Aktualisieren Sie die AD FS Metadaten in SnapCenter, indem Sie das folgende Cmdlet ausführen:

    Set-SmMultiFactorAuthentication -Path <Speicherort der ADFS MFA-Metadatendatei>

Nach Ihrer Beendigung

Schließen Sie nach dem Aktivieren, Aktualisieren oder Deaktivieren der MFA-Einstellungen in SnapCenter alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um sich erneut anzumelden. Dadurch werden die vorhandenen oder aktiven Session-Cookies gelöscht.

SnapCenter MFA-Metadaten aktualisieren

Sie sollten die SnapCenter MFA-Metadaten in AD FS immer dann aktualisieren, wenn es Änderungen am ADFS-Server gibt, wie Reparatur, CA-Zertifikatverlängerung, DR usw.

Schritte

  1. Öffnen Sie im AD FS-Host den AD FS-Managementassistenten, und führen Sie die folgenden Schritte aus:

    1. Klicken Sie Auf Treuhand-Party-Trusts.

    2. Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauensgesellschaft, das für SnapCenter erstellt wurde, und klicken Sie auf Löschen.

      Der benutzerdefinierte Name des Vertrauensverhältnisses wird angezeigt.

    3. Multi-Faktor-Authentifizierung (MFA) aktivieren.

      Siehe "Multi-Faktor-Authentifizierung aktivieren"

Nach Ihrer Beendigung

Schließen Sie nach dem Aktivieren, Aktualisieren oder Deaktivieren der MFA-Einstellungen in SnapCenter alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um sich erneut anzumelden. Dadurch werden die vorhandenen oder aktiven Session-Cookies gelöscht.

Multi-Faktor-Authentifizierung (MFA) deaktivieren

Deaktivieren Sie MFA, und bereinigen Sie die Konfigurationsdateien, die beim Aktivieren von MFA erstellt wurden, indem Sie Set-SmMultiFactorAuthentication -Disable Cmdlet verwenden.

Nach Ihrer Beendigung

Schließen Sie nach dem Aktivieren, Aktualisieren oder Deaktivieren der MFA-Einstellungen in SnapCenter alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um sich erneut anzumelden. Dadurch werden die vorhandenen oder aktiven Session-Cookies gelöscht.