Verwenden Sie den Identitätsverbund
Durch die Verwendung von Identity Federation lassen sich Gruppen und Benutzer schneller einrichten, und Benutzer können sich mithilfe vertrauter Anmeldedaten bei StorageGRID anmelden.
Konfigurieren Sie die Identitätsföderation für Grid Manager
Sie können eine Identitätsföderation im Grid Manager konfigurieren, wenn Administratorgruppen und Benutzer in einem anderen System, z. B. Active Directory, Azure Active Directory (Azure AD), OpenLDAP oder Oracle Directory Server, gemanagt werden sollen.
-
Sie sind mit einem bei Grid Manager angemeldet "Unterstützter Webbrowser".
-
Das ist schon "Bestimmte Zugriffsberechtigungen".
-
Sie verwenden Active Directory, Azure AD, OpenLDAP oder Oracle Directory Server als Identitäts-Provider.
Wenn Sie einen nicht aufgeführten LDAP v3-Dienst verwenden möchten, wenden Sie sich an den technischen Support. -
Wenn Sie OpenLDAP verwenden möchten, müssen Sie den OpenLDAP-Server konfigurieren. Siehe Richtlinien für die Konfiguration eines OpenLDAP-Servers.
-
Wenn Sie Single Sign On (SSO) aktivieren möchten, haben Sie die geprüft "Voraussetzungen und Überlegungen für Single Sign-On".
-
Wenn Sie Transport Layer Security (TLS) für die Kommunikation mit dem LDAP-Server verwenden möchten, verwendet der Identitäts-Provider TLS 1.2 oder 1.3. Siehe "Unterstützte Chiffren für ausgehende TLS-Verbindungen".
Sie können eine Identitätsquelle für den Grid Manager konfigurieren, wenn Sie Gruppen von einem anderen System wie Active Directory, Azure AD, OpenLDAP oder Oracle Directory Server importieren möchten. Sie können die folgenden Gruppen importieren:
-
Admin-Gruppen. Die Benutzer in Admin-Gruppen können sich beim Grid Manager anmelden und anhand der Verwaltungsberechtigungen, die der Gruppe zugewiesen sind, Aufgaben ausführen.
-
Mandantenbenutzergruppen für Mandanten, die keine eigene Identitätsquelle verwenden Benutzer in Mandantengruppen können sich beim Mandanten-Manager anmelden und Aufgaben ausführen, basierend auf den Berechtigungen, die der Gruppe im Mandanten-Manager zugewiesen sind. Siehe "Erstellen eines Mandantenkontos" Und "Verwenden Sie ein Mandantenkonto" Entsprechende Details.
Geben Sie die Konfiguration ein
-
Wählen Sie KONFIGURATION > Zugriffskontrolle > Identitätsverbund aus.
-
Wählen Sie Identitätsföderation aktivieren.
-
Wählen Sie im Abschnitt LDAP-Servicetyp den Typ des LDAP-Dienstes aus, den Sie konfigurieren möchten.
Wählen Sie Other aus, um Werte für einen LDAP-Server zu konfigurieren, der Oracle Directory Server verwendet.
-
Wenn Sie Sonstige ausgewählt haben, füllen Sie die Felder im Abschnitt LDAP-Attribute aus. Andernfalls fahren Sie mit dem nächsten Schritt fort.
-
Eindeutiger Benutzername: Der Name des Attributs, das die eindeutige Kennung eines LDAP-Benutzers enthält. Dieses Attribut ist äquivalent zu
sAMAccountName
Für Active Directory unduid
Für OpenLDAP. Wenn Sie Oracle Directory Server konfigurieren, geben Sie einuid
. -
Benutzer-UUID: Der Name des Attributs, das den permanenten eindeutigen Identifier eines LDAP-Benutzers enthält. Dieses Attribut ist äquivalent zu
objectGUID
Für Active Directory undentryUUID
Für OpenLDAP. Wenn Sie Oracle Directory Server konfigurieren, geben Sie einnsuniqueid
. Der Wert jedes Benutzers für das angegebene Attribut muss eine 32-stellige Hexadezimalzahl im 16-Byte- oder String-Format sein, wobei Bindestriche ignoriert werden. -
Group Unique Name: Der Name des Attributs, das den eindeutigen Identifier einer LDAP-Gruppe enthält. Dieses Attribut ist äquivalent zu
sAMAccountName
Für Active Directory undcn
Für OpenLDAP. Wenn Sie Oracle Directory Server konfigurieren, geben Sie eincn
. -
Group UUID: Der Name des Attributs, das den permanenten eindeutigen Identifier einer LDAP-Gruppe enthält. Dieses Attribut ist äquivalent zu
objectGUID
Für Active Directory undentryUUID
Für OpenLDAP. Wenn Sie Oracle Directory Server konfigurieren, geben Sie einnsuniqueid
. Der Wert jeder Gruppe für das angegebene Attribut muss eine 32-stellige Hexadezimalzahl im 16-Byte- oder String-Format sein, wobei Bindestriche ignoriert werden.
-
-
Geben Sie für alle LDAP-Servicetypen die Informationen zum erforderlichen LDAP-Server und zur Netzwerkverbindung im Abschnitt LDAP-Server konfigurieren ein.
-
Hostname: Der vollständig qualifizierte Domainname (FQDN) oder die IP-Adresse des LDAP-Servers.
-
Port: Der Port, über den eine Verbindung zum LDAP-Server hergestellt wird.
Der Standardport für STARTTLS ist 389 und der Standardport für LDAPS ist 636. Sie können jedoch jeden beliebigen Port verwenden, solange Ihre Firewall korrekt konfiguriert ist. -
Benutzername: Der vollständige Pfad des Distinguished Name (DN) für den Benutzer, der eine Verbindung zum LDAP-Server herstellt.
Für Active Directory können Sie auch den unten angegebenen Anmeldenamen oder den Benutzerprinzipalnamen festlegen.
Der angegebene Benutzer muss über die Berechtigung zum Auflisten von Gruppen und Benutzern sowie zum Zugriff auf die folgenden Attribute verfügen:
-
sAMAccountName
Oderuid
-
objectGUID
,entryUUID
, Odernsuniqueid
-
cn
-
memberOf
OderisMemberOf
-
Active Directory:
objectSid
,primaryGroupID
,userAccountControl
, unduserPrincipalName
-
Azure:
accountEnabled
UnduserPrincipalName
-
-
Passwort: Das mit dem Benutzernamen verknüpfte Passwort.
Wenn Sie das Passwort in Zukunft ändern, müssen Sie es auf dieser Seite aktualisieren. -
Group Base DN: Der vollständige Pfad des Distinguished Name (DN) für einen LDAP-Unterbaum, nach dem Sie nach Gruppen suchen möchten. Im Active Directory-Beispiel (unten) können alle Gruppen, deren Distinguished Name relativ zum Basis-DN (DC=storagegrid,DC=example,DC=com) ist, als föderierte Gruppen verwendet werden.
Die Group Unique Name-Werte müssen innerhalb des Group Base DN, zu dem sie gehören, eindeutig sein. -
User Base DN: Der vollständige Pfad des Distinguished Name (DN) eines LDAP-Unterbaums, nach dem Sie nach Benutzern suchen möchten.
Die Benutzer-eindeutigen Namen-Werte müssen innerhalb des User Base DN, zu dem sie gehören, eindeutig sein. -
Bind username Format (optional): Das Standard-Username Muster StorageGRID sollte verwendet werden, wenn das Muster nicht automatisch ermittelt werden kann.
Es wird empfohlen, Bind username Format bereitzustellen, da Benutzer sich anmelden können, wenn StorageGRID nicht mit dem Servicekonto verknüpft werden kann.
Geben Sie eines der folgenden Muster ein:
-
UserPrincipalName pattern (Active Directory und Azure):
[USERNAME]@example.com
-
Namensmuster für Anmeldung auf der Ebene nach unten (Active Directory und Azure):
example\[USERNAME]
-
* Distinguished Name pattern*:
CN=[USERNAME],CN=Users,DC=example,DC=com
Fügen Sie [USERNAME] genau wie geschrieben ein.
-
-
-
Wählen Sie im Abschnitt Transport Layer Security (TLS) eine Sicherheitseinstellung aus.
-
Verwenden Sie STARTTLS: Verwenden Sie STARTTLS, um die Kommunikation mit dem LDAP-Server zu sichern. Dies ist die empfohlene Option für Active Directory, OpenLDAP oder andere, diese Option wird jedoch für Azure nicht unterstützt.
-
LDAPS verwenden: Die Option LDAPS (LDAP über SSL) verwendet TLS, um eine Verbindung zum LDAP-Server herzustellen. Sie müssen diese Option für Azure auswählen.
-
Verwenden Sie keine TLS: Der Netzwerkverkehr zwischen dem StorageGRID-System und dem LDAP-Server wird nicht gesichert. Diese Option wird für Azure nicht unterstützt.
Die Verwendung der Option keine TLS verwenden wird nicht unterstützt, wenn Ihr Active Directory-Server die LDAP-Signatur erzwingt. Sie müssen STARTTLS oder LDAPS verwenden.
-
-
Wenn Sie STARTTLS oder LDAPS ausgewählt haben, wählen Sie das Zertifikat aus, mit dem die Verbindung gesichert werden soll.
-
Verwenden Sie das Betriebssystem CA-Zertifikat: Verwenden Sie das auf dem Betriebssystem installierte Standard-Grid-CA-Zertifikat, um Verbindungen zu sichern.
-
Benutzerdefiniertes CA-Zertifikat verwenden: Verwenden Sie ein benutzerdefiniertes Sicherheitszertifikat.
Wenn Sie diese Einstellung auswählen, kopieren Sie das benutzerdefinierte Sicherheitszertifikat in das Textfeld CA-Zertifikat und fügen Sie es ein.
-
Testen Sie die Verbindung und speichern Sie die Konfiguration
Nachdem Sie alle Werte eingegeben haben, müssen Sie die Verbindung testen, bevor Sie die Konfiguration speichern können. StorageGRID überprüft die Verbindungseinstellungen für den LDAP-Server und das BIND-Username-Format, wenn Sie es angegeben haben.
-
Wählen Sie Verbindung testen.
-
Wenn Sie kein bind username Format angegeben haben:
-
Wenn die Verbindungseinstellungen gültig sind, wird die Meldung „Verbindung erfolgreich testen“ angezeigt. Wählen Sie Speichern, um die Konfiguration zu speichern.
-
Wenn die Verbindungseinstellungen ungültig sind, wird die Meldung „Testverbindung konnte nicht hergestellt werden“ angezeigt. Wählen Sie Schließen. Beheben Sie anschließend alle Probleme, und testen Sie die Verbindung erneut.
-
-
Wenn Sie ein bind username Format angegeben haben, geben Sie den Benutzernamen und das Kennwort eines gültigen föderierten Benutzers ein.
Geben Sie beispielsweise Ihren eigenen Benutzernamen und Ihr Kennwort ein. Geben Sie keine Sonderzeichen in den Benutzernamen ein, z. B. @ oder /.
-
Wenn die Verbindungseinstellungen gültig sind, wird die Meldung „Verbindung erfolgreich testen“ angezeigt. Wählen Sie Speichern, um die Konfiguration zu speichern.
-
Es wird eine Fehlermeldung angezeigt, wenn die Verbindungseinstellungen, das Bind-Username-Format oder der Test-Benutzername und das Kennwort ungültig sind. Beheben Sie alle Probleme, und testen Sie die Verbindung erneut.
-
Synchronisierung mit der Identitätsquelle erzwingen
Das StorageGRID-System synchronisiert regelmäßig föderierte Gruppen und Benutzer von der Identitätsquelle aus. Sie können die Synchronisierung erzwingen, wenn Sie Benutzerberechtigungen so schnell wie möglich aktivieren oder einschränken möchten.
-
Rufen Sie die Seite Identity Federation auf.
-
Wählen Sie oben auf der Seite Sync Server aus.
Der Synchronisierungsprozess kann je nach Umgebung einige Zeit in Anspruch nehmen.
Die Warnmeldung * Identity Federation Failure* wird ausgelöst, wenn es ein Problem gibt, das die Synchronisierung von föderierten Gruppen und Benutzern aus der Identitätsquelle verursacht.
Deaktivieren Sie den Identitätsverbund
Sie können den Identitätsverbund für Gruppen und Benutzer vorübergehend oder dauerhaft deaktivieren. Wenn die Identitätsföderation deaktiviert ist, besteht keine Kommunikation zwischen StorageGRID und der Identitätsquelle. Allerdings bleiben alle von Ihnen konfigurierten Einstellungen erhalten, sodass Sie die Identitätsföderation zukünftig einfach wieder aktivieren können.
Bevor Sie die Identitätsföderation deaktivieren, sollten Sie Folgendes beachten:
-
Verbundene Benutzer können sich nicht anmelden.
-
Föderierte Benutzer, die sich derzeit anmelden, erhalten bis zu ihrem Ablauf Zugriff auf das StorageGRID-System, können sich jedoch nach Ablauf der Sitzung nicht anmelden.
-
Die Synchronisierung zwischen dem StorageGRID-System und der Identitätsquelle erfolgt nicht, und Warnmeldungen oder Alarme werden nicht für Konten ausgelöst, die nicht synchronisiert wurden.
-
Das Kontrollkästchen Enable Identity Federation ist deaktiviert, wenn Single Sign-On (SSO) auf enabled oder Sandbox Mode eingestellt ist. Der SSO-Status auf der Seite Single Sign-On muss deaktiviert sein, bevor Sie die Identitätsföderation deaktivieren können. Siehe "Deaktivieren Sie Single Sign-On".
-
Rufen Sie die Seite Identity Federation auf.
-
Deaktivieren Sie das Kontrollkästchen Enable Identity Federation.
Richtlinien für die Konfiguration eines OpenLDAP-Servers
Wenn Sie einen OpenLDAP-Server für die Identitätsföderation verwenden möchten, müssen Sie bestimmte Einstellungen auf dem OpenLDAP-Server konfigurieren.
Bei Identitätsquellen, die nicht ActiveDirectory oder Azure sind, blockiert StorageGRID den S3-Zugriff nicht automatisch für Benutzer, die extern deaktiviert sind. Löschen Sie zum Blockieren des S3-Zugriffs alle S3-Schlüssel für den Benutzer oder entfernen Sie den Benutzer aus allen Gruppen. |
Überlagerungen in Memberof und Refint
Die Überlagerungen Memberof und Refint sollten aktiviert sein. Weitere Informationen finden Sie in den Anweisungen zur Wartung der Umkehrgruppenmitgliedschaft im "OpenLDAP-Dokumentation: Version 2.4 Administratorhandbuch".
Indizierung
Sie müssen die folgenden OpenLDAP-Attribute mit den angegebenen Stichwörtern für den Index konfigurieren:
-
olcDbIndex: objectClass eq
-
olcDbIndex: uid eq,pres,sub
-
olcDbIndex: cn eq,pres,sub
-
olcDbIndex: entryUUID eq
Stellen Sie außerdem sicher, dass die in der Hilfe für den Benutzernamen genannten Felder für eine optimale Leistung indiziert sind.
Weitere Informationen zur Wartung von Gruppenmitgliedschaften finden Sie im "OpenLDAP-Dokumentation: Version 2.4 Administratorhandbuch".