Multi-Faktor-Authentifizierung (MFA) managen
Änderungen vorschlagen
PDFs
Sie können die Multi-Faktor-Authentifizierung (MFA)-Funktion im Active Directory-Verbunddienst (AD FS) und im SnapCenter-Server verwalten.
Multi-Faktor-Authentifizierung (MFA) aktivieren
Sie können die MFA-Funktionalität für SnapCenter-Server mithilfe von PowerShell-Befehlen aktivieren.
-
SnapCenter unterstützt SSO-basierte Anmeldungen, wenn andere Applikationen mit demselben AD FS konfiguriert werden. In bestimmten AD FS-Konfigurationen erfordert SnapCenter möglicherweise aus Sicherheitsgründen die Benutzerauthentifizierung in Abhängigkeit von der Persistenz der AD FS-Session.
-
Die Informationen zu den Parametern, die mit dem Cmdlet verwendet werden können und deren Beschreibungen können durch Ausführen abgerufen werden
Get-Help command_name. Alternativ können Sie auch sehen "SnapCenter Software Cmdlet Referenzhandbuch".
-
Der Windows Active Directory Federation Service (AD FS) sollte in der jeweiligen Domäne ausgeführt werden.
-
Sie sollten über einen AD FS-unterstützten Multi-Faktor-Authentifizierungsservice wie Azure MFA, Cisco Duo usw. verfügen.
-
Der SnapCenter- und AD-FS-Server-Zeitstempel sollte unabhängig von der Zeitzone gleich sein.
-
Beschaffung und Konfiguration des autorisierten CA-Zertifikats für den SnapCenter-Server.
CA-Zertifikat ist aus folgenden Gründen obligatorisch:
-
Stellt sicher, dass die ADFS-F5-Kommunikation nicht unterbrochen wird, da die selbstsignierten Zertifikate auf Knotenebene eindeutig sind.
-
Stellt sicher, dass bei Upgrade, Reparatur oder Disaster Recovery (DR) in einer Standalone- oder Hochverfügbarkeitskonfiguration das selbstsignierte Zertifikat nicht wiederhergestellt wird, wodurch MFA neu konfiguriert werden kann.
-
Stellt IP-FQDN-Auflösungen sicher.
Informationen zum CA-Zertifikat finden Sie unter "ZertifikatCSR-Datei erstellen".
-
-
Stellen Sie eine Verbindung zum Active Directory Federation Services (AD FS)-Host her.
-
Laden Sie die AD FS-Verbundmetadaten-Datei von FQDN>/FederationMetadata/2007-06/FederationMetadata.XML herunter "https://<host .“
-
Kopieren Sie die heruntergeladene Datei auf SnapCenter-Server, um die MFA-Funktion zu aktivieren.
-
Melden Sie sich bei SnapCenter Server als SnapCenter-Administrator-Benutzer über PowerShell an.
-
Generieren Sie mithilfe der PowerShell-Sitzung die SnapCenter MFA-Metadatendatei mit dem Cmdlet New-SmMultifactorAuthenticationMetadata -Path.
Der Parameter Path gibt den Pfad an, in dem die MFA-Metadatendatei im SnapCenter-Server-Host gespeichert werden soll.
-
Kopieren Sie die generierte Datei auf den AD FS-Host, um SnapCenter als Client-Einheit zu konfigurieren.
-
Aktivieren Sie MFA für SnapCenter Server mit dem
Set-SmMultiFactorAuthenticationCmdlet. -
(Optional) Überprüfen Sie den MFA-Konfigurationsstatus und die Einstellungen mit dem
Get-SmMultiFactorAuthenticationCmdlet. -
Gehen Sie zur Microsoft Management Console (MMC), und führen Sie die folgenden Schritte aus:
-
Klicken Sie Auf Datei > Snapin Hinzufügen/Entfernen.
-
Wählen Sie im Fenster Snap-ins hinzufügen oder entfernen die Option Zertifikate und klicken Sie dann auf Hinzufügen.
-
Wählen Sie im Snap-in-Fenster Zertifikate die Option Computerkonto aus und klicken Sie dann auf Fertig stellen.
-
Klicken Sie Auf Konsolenwurzel > Zertifikate – Lokaler Computer > Persönlich > Zertifikate.
-
Klicken Sie mit der rechten Maustaste auf das CA-Zertifikat, das an SnapCenter gebunden ist, und wählen Sie dann Alle Aufgaben > Privater Schlüssel verwalten aus.
-
Führen Sie auf dem Berechtigungsassistenten die folgenden Schritte aus:
-
Klicken Sie Auf Hinzufügen.
-
Klicken Sie auf Standorte und wählen Sie den betreffenden Host (oben in der Hierarchie) aus.
-
Klicken Sie im Popup-Fenster Locations auf OK.
-
Geben Sie im Feld Objektname ‘IIS_IUSRS’ ein, und klicken Sie auf Namen überprüfen und klicken Sie auf OK.
Wenn die Prüfung erfolgreich war, klicken Sie auf OK.
-
-
-
Öffnen Sie im AD FS-Host den AD FS-Managementassistenten, und führen Sie die folgenden Schritte aus:
-
Klicken Sie mit der rechten Maustaste auf vertraut auf Partei > Vertrauensbeschuss hinzufügen > Start.
-
Wählen Sie die zweite Option aus, und durchsuchen Sie die SnapCenter MFA-Metadatendatei und klicken Sie auf Weiter.
-
Geben Sie einen Anzeigenamen an und klicken Sie auf Weiter.
-
Wählen Sie eine Zugangskontrollrichtlinie nach Bedarf aus und klicken Sie auf Weiter.
-
Wählen Sie die Einstellungen auf der nächsten Registerkarte standardmäßig aus.
-
Klicken Sie Auf Fertig Stellen.
SnapCenter wird jetzt als vertrauensanzeige-Partei mit dem angegebenen Anzeigenamen dargestellt.
-
-
Wählen Sie den Namen aus, und führen Sie die folgenden Schritte aus:
-
Klicken Sie Auf Richtlinie Zur Bearbeitung Von Forderungen.
-
Klicken Sie auf Regel hinzufügen und klicken Sie auf Weiter.
-
Geben Sie einen Namen für die Antragsregel an.
-
Wählen Sie Active Directory als Attributspeicher aus.
-
Wählen Sie das Attribut als Benutzer-Principal-Name und den ausgehenden Antragsart als Name-ID aus.
-
Klicken Sie Auf Fertig Stellen.
-
-
Führen Sie die folgenden PowerShell-Befehle auf dem ADFS-Server aus.
Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck NoneSet-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None -
Führen Sie die folgenden Schritte durch, um zu bestätigen, dass die Metadaten erfolgreich importiert wurden.
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauensbesteller und wählen Sie Eigenschaften.
-
Stellen Sie sicher, dass die Felder Endpoints, Identifikatoren und Signatur ausgefüllt sind.
-
-
Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.
Die SnapCenter MFA-Funktion kann auch über REST-APIs aktiviert werden.
Informationen zur Fehlerbehebung finden Sie unter "Gleichzeitige Anmeldeversuche auf mehreren Registerkarten zeigen MFA-Fehler an".
AD FS MFA-Metadaten aktualisieren
Sie sollten die AD FS MFA-Metadaten in SnapCenter aktualisieren, sobald es Änderungen im AD FS-Server gibt, wie z. B. Upgrade, CA-Zertifikatverlängerung, DR usw.
-
Laden Sie die AD FS-Verbundmetadaten-Datei von FQDN>/FederationMetadata/2007-06/FederationMetadata.XML herunter "https://<host .“
-
Kopieren Sie die heruntergeladene Datei auf SnapCenter-Server, um die MFA-Konfiguration zu aktualisieren.
-
Aktualisieren Sie die AD FS Metadaten in SnapCenter, indem Sie das folgende Cmdlet ausführen:
Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file> -
Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.
SnapCenter MFA-Metadaten aktualisieren
Sie sollten die SnapCenter MFA-Metadaten in AD FS immer dann aktualisieren, wenn es Änderungen am ADFS-Server gibt, wie Reparatur, CA-Zertifikatverlängerung, DR usw.
-
Öffnen Sie im AD FS-Host den AD FS-Managementassistenten, und führen Sie die folgenden Schritte aus:
-
Klicken Sie Auf Treuhand-Party-Trusts.
-
Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauensgesellschaft, das für SnapCenter erstellt wurde, und klicken Sie auf Löschen.
Der benutzerdefinierte Name des Vertrauensverhältnisses wird angezeigt.
-
Multi-Faktor-Authentifizierung (MFA) aktivieren.
-
-
Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.
Multi-Faktor-Authentifizierung (MFA) deaktivieren
-
Deaktivieren Sie MFA, und bereinigen Sie die Konfigurationsdateien, die bei der Aktivierung von MFA mithilfe des Cmdlet erstellt wurden
Set-SmMultiFactorAuthentication. -
Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.