Skip to main content
SnapCenter software
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten der Multi-Faktor-Authentifizierung (MFA)

PDFs

Sie können die Multi-Faktor-Authentifizierungsfunktion (MFA) im Active Directory Federation Service (AD FS)-Server und im SnapCenter Server verwalten.

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA).

Sie können die MFA-Funktionalität für SnapCenter Server mithilfe von PowerShell-Befehlen aktivieren.

Informationen zu diesem Vorgang

  • SnapCenter unterstützt SSO-basierte Anmeldungen, wenn andere Anwendungen im selben AD FS konfiguriert sind. In bestimmten AD FS-Konfigurationen erfordert SnapCenter möglicherweise aus Sicherheitsgründen eine Benutzerauthentifizierung, abhängig von der Persistenz der AD FS-Sitzung.

  • Informationen zu den mit dem Cmdlet verwendbaren Parametern und deren Beschreibungen erhalten Sie durch Ausführen von Get-Help command_name . Alternativ können Sie auch sehen "Referenzhandbuch für SnapCenter -Software-Cmdlets" .

Bevor Sie beginnen

  • Der Windows Active Directory Federation Service (AD FS) sollte in der jeweiligen Domäne aktiv und betriebsbereit sein.

  • Sie sollten über einen von AD FS unterstützten Multi-Faktor-Authentifizierungsdienst wie Azure MFA, Cisco Duo usw. verfügen.

  • Der Zeitstempel des SnapCenter und AD FS-Servers sollte unabhängig von der Zeitzone identisch sein.

  • Beschaffen und konfigurieren Sie das autorisierte CA-Zertifikat für SnapCenter Server.

    Ein CA-Zertifikat ist aus folgenden Gründen obligatorisch:

    • Stellt sicher, dass die ADFS-F5-Kommunikation nicht unterbrochen wird, da die selbstsignierten Zertifikate auf Knotenebene eindeutig sind.

    • Stellt sicher, dass während eines Upgrades, einer Reparatur oder einer Notfallwiederherstellung (DR) in einer eigenständigen oder Hochverfügbarkeitskonfiguration das selbstsignierte Zertifikat nicht neu erstellt wird, wodurch eine MFA-Neukonfiguration vermieden wird.

    • Stellt IP-FQDN-Auflösungen sicher.

      Informationen zum CA-Zertifikat finden Sie unter"CA-Zertifikat-CSR-Datei generieren" .

Schritte

  1. Stellen Sie eine Verbindung zum Active Directory Federation Services (AD FS)-Host her.

  2. Laden Sie die AD FS-Verbundmetadatendatei herunter von"https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml".

  3. Kopieren Sie die heruntergeladene Datei auf den SnapCenter -Server, um die MFA-Funktion zu aktivieren.

  4. Melden Sie sich über PowerShell als SnapCenter -Administratorbenutzer beim SnapCenter -Server an.

  5. Generieren Sie mithilfe der PowerShell-Sitzung die SnapCenter MFA-Metadatendatei mit dem Cmdlet New-SmMultifactorAuthenticationMetadata -path.

    Der Pfadparameter gibt den Pfad zum Speichern der MFA-Metadatendatei im SnapCenter Server-Host an.

  6. Kopieren Sie die generierte Datei auf den AD FS-Host, um SnapCenter als Cliententität zu konfigurieren.

  7. Aktivieren Sie MFA für SnapCenter Server mithilfe des Set-SmMultiFactorAuthentication Cmdlet.

  8. (Optional) Überprüfen Sie den MFA-Konfigurationsstatus und die Einstellungen mithilfe von Get-SmMultiFactorAuthentication Cmdlet.

  9. Gehen Sie zur Microsoft-Verwaltungskonsole (MMC) und führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Datei > Snap-In hinzufügen/entfernen.

    2. Wählen Sie im Fenster „Snap-Ins hinzufügen oder entfernen“ Zertifikate aus und klicken Sie dann auf Hinzufügen.

    3. Wählen Sie im Zertifikat-Snap-In-Fenster die Option Computerkonto und klicken Sie dann auf Fertig.

    4. Klicken Sie auf Konsolenstamm > Zertifikate – Lokaler Computer > Persönlich > Zertifikate.

    5. Klicken Sie mit der rechten Maustaste auf das an SnapCenter gebundene CA-Zertifikat und wählen Sie dann Alle Aufgaben > Private Schlüssel verwalten.

    6. Führen Sie im Berechtigungsassistenten die folgenden Schritte aus:

      1. Klicken Sie auf Hinzufügen.

      2. Klicken Sie auf Standorte und wählen Sie den betreffenden Host (oben in der Hierarchie) aus.

      3. Klicken Sie im Popup-Fenster Standorte auf OK.

      4. Geben Sie im Feld „Objektname“ „IIS_IUSRS“ ein, klicken Sie auf Namen überprüfen und dann auf OK.

        Wenn die Prüfung erfolgreich war, klicken Sie auf OK.

  10. Öffnen Sie im AD FS-Host den AD FS-Verwaltungsassistenten und führen Sie die folgenden Schritte aus:

    1. Klicken Sie mit der rechten Maustaste auf Vertrauensstellungen der vertrauenden Partei > Vertrauensstellung der vertrauenden Partei hinzufügen > Start.

    2. Wählen Sie die zweite Option, durchsuchen Sie die SnapCenter MFA-Metadatendatei und klicken Sie auf Weiter.

    3. Geben Sie einen Anzeigenamen an und klicken Sie auf Weiter.

    4. Wählen Sie nach Bedarf eine Zugriffskontrollrichtlinie aus und klicken Sie auf Weiter.

    5. Wählen Sie im nächsten Reiter die Standardeinstellungen aus.

    6. Klicken Sie auf Fertig.

      SnapCenter wird jetzt mit dem angegebenen Anzeigenamen als vertrauende Partei angezeigt.

  11. Wählen Sie den Namen aus und führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Richtlinie zur Anspruchsausstellung bearbeiten.

    2. Klicken Sie auf Regel hinzufügen und dann auf Weiter.

    3. Geben Sie einen Namen für die Anspruchsregel an.

    4. Wählen Sie Active Directory als Attributspeicher aus.

    5. Wählen Sie das Attribut als User-Principal-Name und den ausgehenden Anspruchstyp als Name-ID.

    6. Klicken Sie auf Fertig.

  12. Führen Sie die folgenden PowerShell-Befehle auf dem ADFS-Server aus.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Metadaten erfolgreich importiert wurden.

    1. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite und wählen Sie Eigenschaften.

    2. Stellen Sie sicher, dass die Felder „Endpunkte“, „Kennungen“ und „Signatur“ ausgefüllt sind.

  14. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Sitzungscookies zu löschen, und melden Sie sich erneut an.

Die SnapCenter MFA-Funktionalität kann auch mithilfe von REST-APIs aktiviert werden.

Informationen zur Fehlerbehebung finden Sie unter "Gleichzeitige Anmeldeversuche in mehreren Registerkarten zeigen einen MFA-Fehler" .

Aktualisieren der AD FS MFA-Metadaten

Sie sollten die AD FS MFA-Metadaten in SnapCenter aktualisieren, wenn es Änderungen am AD FS-Server gibt, z. B. Upgrade, Erneuerung des CA-Zertifikats, DR usw.

Schritte

  1. Laden Sie die AD FS-Verbundmetadatendatei herunter von"https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Kopieren Sie die heruntergeladene Datei auf den SnapCenter -Server, um die MFA-Konfiguration zu aktualisieren.

  3. Aktualisieren Sie die AD FS-Metadaten in SnapCenter , indem Sie das folgende Cmdlet ausführen:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Sitzungscookies zu löschen, und melden Sie sich erneut an.

Aktualisieren Sie die SnapCenter MFA-Metadaten

Sie sollten die SnapCenter MFA-Metadaten in AD FS aktualisieren, wenn am ADFS-Server Änderungen vorgenommen werden, z. B. Reparaturen, Erneuerung des CA-Zertifikats, DR usw.

Schritte

  1. Öffnen Sie im AD FS-Host den AD FS-Verwaltungsassistenten und führen Sie die folgenden Schritte aus:

    1. Wählen Sie Vertrauensstellungen der vertrauenden Partei aus.

    2. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Partei, die für SnapCenter erstellt wurde, und wählen Sie Löschen.

      Der benutzerdefinierte Name des Relying Party Trust wird angezeigt.

    3. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA).

      Sehen "Aktivieren Sie die Multi-Faktor-Authentifizierung" .

  2. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Sitzungscookies zu löschen, und melden Sie sich erneut an.

Deaktivieren Sie die Multi-Faktor-Authentifizierung (MFA).

Schritte

  1. Deaktivieren Sie MFA und bereinigen Sie die Konfigurationsdateien, die beim Aktivieren von MFA erstellt wurden, mithilfe des Set-SmMultiFactorAuthentication Cmdlet.

  2. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Sitzungscookies zu löschen, und melden Sie sich erneut an.