Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Multi-Faktor-Authentifizierung (MFA) managen

Beitragende
PDFs

Sie können die Multi-Faktor-Authentifizierung (MFA)-Funktion im Active Directory-Verbunddienst (AD FS) und im SnapCenter-Server verwalten.

Multi-Faktor-Authentifizierung (MFA) aktivieren

Sie können die MFA-Funktionalität für SnapCenter-Server mithilfe von PowerShell-Befehlen aktivieren.

Über diese Aufgabe

  • SnapCenter unterstützt SSO-basierte Anmeldungen, wenn andere Applikationen mit demselben AD FS konfiguriert werden. In bestimmten AD FS-Konfigurationen erfordert SnapCenter möglicherweise aus Sicherheitsgründen die Benutzerauthentifizierung in Abhängigkeit von der Persistenz der AD FS-Session.

  • Die Informationen zu den Parametern, die mit dem Cmdlet verwendet werden können und deren Beschreibungen können durch Ausführen abgerufen werden Get-Help command_name. Alternativ können Sie auch sehen "SnapCenter Software Cmdlet Referenzhandbuch".

Bevor Sie beginnen

  • Der Windows Active Directory Federation Service (AD FS) sollte in der jeweiligen Domäne ausgeführt werden.

  • Sie sollten über einen AD FS-unterstützten Multi-Faktor-Authentifizierungsservice wie Azure MFA, Cisco Duo usw. verfügen.

  • Der SnapCenter- und AD-FS-Server-Zeitstempel sollte unabhängig von der Zeitzone gleich sein.

  • Beschaffung und Konfiguration des autorisierten CA-Zertifikats für den SnapCenter-Server.

    CA-Zertifikat ist aus folgenden Gründen obligatorisch:

    • Stellt sicher, dass die ADFS-F5-Kommunikation nicht unterbrochen wird, da die selbstsignierten Zertifikate auf Knotenebene eindeutig sind.

    • Stellt sicher, dass bei Upgrade, Reparatur oder Disaster Recovery (DR) in einer Standalone- oder Hochverfügbarkeitskonfiguration das selbstsignierte Zertifikat nicht wiederhergestellt wird, wodurch MFA neu konfiguriert werden kann.

    • Stellt IP-FQDN-Auflösungen sicher.

      Informationen zum CA-Zertifikat finden Sie unter "ZertifikatCSR-Datei erstellen".

Schritte

  1. Stellen Sie eine Verbindung zum Active Directory Federation Services (AD FS)-Host her.

  2. Laden Sie die AD FS Federation-Metadatendatei von herunter "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.XML“.

  3. Kopieren Sie die heruntergeladene Datei auf SnapCenter-Server, um die MFA-Funktion zu aktivieren.

  4. Melden Sie sich bei SnapCenter Server als SnapCenter-Administrator-Benutzer über PowerShell an.

  5. Generieren Sie mithilfe der PowerShell-Sitzung die SnapCenter MFA-Metadatendatei mit dem Cmdlet New-SmMultifactorAuthenticationMetadata -Path.

    Der Parameter Path gibt den Pfad an, in dem die MFA-Metadatendatei im SnapCenter-Server-Host gespeichert werden soll.

  6. Kopieren Sie die generierte Datei auf den AD FS-Host, um SnapCenter als Client-Einheit zu konfigurieren.

  7. Aktivieren Sie MFA für SnapCenter-Server mithilfe von Set-SmMultiFactorAuthentication Cmdlet:

  8. (Optional) Überprüfen Sie den MFA-Konfigurationsstatus und die Einstellungen mit Get-SmMultiFactorAuthentication Cmdlet:

  9. Gehen Sie zur Microsoft Management Console (MMC), und führen Sie die folgenden Schritte aus:

    1. Klicken Sie Auf Datei > Snapin Hinzufügen/Entfernen.

    2. Wählen Sie im Fenster Snap-ins hinzufügen oder entfernen die Option Zertifikate und klicken Sie dann auf Hinzufügen.

    3. Wählen Sie im Snap-in-Fenster Zertifikate die Option Computerkonto aus und klicken Sie dann auf Fertig stellen.

    4. Klicken Sie Auf Konsolenwurzel > Zertifikate – Lokaler Computer > Persönlich > Zertifikate.

    5. Klicken Sie mit der rechten Maustaste auf das CA-Zertifikat, das an SnapCenter gebunden ist, und wählen Sie dann Alle Aufgaben > Privater Schlüssel verwalten aus.

    6. Führen Sie auf dem Berechtigungsassistenten die folgenden Schritte aus:

      1. Klicken Sie Auf Hinzufügen.

      2. Klicken Sie auf Standorte und wählen Sie den betreffenden Host (oben in der Hierarchie) aus.

      3. Klicken Sie im Popup-Fenster Locations auf OK.

      4. Geben Sie im Feld Objektname ‘IIS_IUSRS’ ein, und klicken Sie auf Namen überprüfen und klicken Sie auf OK.

        Wenn die Prüfung erfolgreich war, klicken Sie auf OK.

  10. Öffnen Sie im AD FS-Host den AD FS-Managementassistenten, und führen Sie die folgenden Schritte aus:

    1. Klicken Sie mit der rechten Maustaste auf vertraut auf Partei > Vertrauensbeschuss hinzufügen > Start.

    2. Wählen Sie die zweite Option aus, und durchsuchen Sie die SnapCenter MFA-Metadatendatei und klicken Sie auf Weiter.

    3. Geben Sie einen Anzeigenamen an und klicken Sie auf Weiter.

    4. Wählen Sie eine Zugangskontrollrichtlinie nach Bedarf aus und klicken Sie auf Weiter.

    5. Wählen Sie die Einstellungen auf der nächsten Registerkarte standardmäßig aus.

    6. Klicken Sie Auf Fertig Stellen.

      SnapCenter wird jetzt als vertrauensanzeige-Partei mit dem angegebenen Anzeigenamen dargestellt.

  11. Wählen Sie den Namen aus, und führen Sie die folgenden Schritte aus:

    1. Klicken Sie Auf Richtlinie Zur Bearbeitung Von Forderungen.

    2. Klicken Sie auf Regel hinzufügen und klicken Sie auf Weiter.

    3. Geben Sie einen Namen für die Antragsregel an.

    4. Wählen Sie Active Directory als Attributspeicher aus.

    5. Wählen Sie das Attribut als Benutzer-Principal-Name und den ausgehenden Antragsart als Name-ID aus.

    6. Klicken Sie Auf Fertig Stellen.

  12. Führen Sie die folgenden PowerShell-Befehle auf dem ADFS-Server aus.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Führen Sie die folgenden Schritte durch, um zu bestätigen, dass die Metadaten erfolgreich importiert wurden.

    1. Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauensbesteller und wählen Sie Eigenschaften.

    2. Stellen Sie sicher, dass die Felder Endpoints, Identifikatoren und Signatur ausgefüllt sind.

  14. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.

Die SnapCenter MFA-Funktion kann auch über REST-APIs aktiviert werden.

Informationen zur Fehlerbehebung finden Sie unter "Gleichzeitige Anmeldeversuche auf mehreren Registerkarten zeigen MFA-Fehler an".

AD FS MFA-Metadaten aktualisieren

Sie sollten die AD FS MFA-Metadaten in SnapCenter aktualisieren, sobald es Änderungen im AD FS-Server gibt, wie z. B. Upgrade, CA-Zertifikatverlängerung, DR usw.

Schritte

  1. Laden Sie die AD FS Federation-Metadatendatei von herunter "https://<host FQDN>/FederationMetadaten/2007-06/FederationMetadata.XML“

  2. Kopieren Sie die heruntergeladene Datei auf SnapCenter-Server, um die MFA-Konfiguration zu aktualisieren.

  3. Aktualisieren Sie die AD FS Metadaten in SnapCenter, indem Sie das folgende Cmdlet ausführen:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.

SnapCenter MFA-Metadaten aktualisieren

Sie sollten die SnapCenter MFA-Metadaten in AD FS immer dann aktualisieren, wenn es Änderungen am ADFS-Server gibt, wie Reparatur, CA-Zertifikatverlängerung, DR usw.

Schritte

  1. Öffnen Sie im AD FS-Host den AD FS-Managementassistenten, und führen Sie die folgenden Schritte aus:

    1. Klicken Sie Auf Treuhand-Party-Trusts.

    2. Klicken Sie mit der rechten Maustaste auf das Vertrauen der Vertrauensgesellschaft, das für SnapCenter erstellt wurde, und klicken Sie auf Löschen.

      Der benutzerdefinierte Name des Vertrauensverhältnisses wird angezeigt.

    3. Multi-Faktor-Authentifizierung (MFA) aktivieren.

      Siehe "Multi-Faktor-Authentifizierung aktivieren".

  2. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.

Multi-Faktor-Authentifizierung (MFA) deaktivieren

Schritte

  1. Deaktivieren Sie MFA, und bereinigen Sie die Konfigurationsdateien, die bei der Aktivierung von MFA mithilfe des erstellt wurden Set-SmMultiFactorAuthentication Cmdlet:

  2. Schließen Sie alle Browser-Registerkarten und öffnen Sie einen Browser erneut, um die vorhandenen oder aktiven Session-Cookies zu löschen, und melden Sie sich erneut an.