Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Sandbox-Modus verwenden

PDFs

Sie können den Sandbox-Modus verwenden, um Single Sign-On (SSO) zu konfigurieren und zu testen, bevor Sie es für alle StorageGRID Benutzer aktivieren. Nachdem SSO aktiviert wurde, können Sie jederzeit in den Sandbox-Modus zurückkehren, wenn Sie die Konfiguration ändern oder erneut testen müssen.

Bevor Sie beginnen

  • Sie sind beim Grid Manager angemeldet mit einem"unterstützter Webbrowser" .

  • Sie haben die"Root-Zugriffsberechtigung" .

  • Sie haben die Identitätsföderation für Ihr StorageGRID -System konfiguriert.

  • Für den LDAP-Diensttyp der Identitätsföderation haben Sie je nach dem SSO-Identitätsanbieter, den Sie verwenden möchten, entweder Active Directory oder Azure ausgewählt.

    Konfigurierter LDAP-Diensttyp Optionen für SSO-Identitätsanbieter

    Active Directory

    • Active Directory

    • Azurblau

    • PingFederate

    Azurblau

    Azurblau
Informationen zu diesem Vorgang

Wenn SSO aktiviert ist und ein Benutzer versucht, sich bei einem Admin-Knoten anzumelden, sendet StorageGRID eine Authentifizierungsanforderung an den SSO-Identitätsanbieter. Im Gegenzug sendet der SSO-Identitätsanbieter eine Authentifizierungsantwort zurück an StorageGRID, die angibt, ob die Authentifizierungsanforderung erfolgreich war. Für erfolgreiche Anfragen:

  • Die Antwort von Active Directory oder PingFederate enthält eine universell eindeutige Kennung (UUID) für den Benutzer.

  • Die Antwort von Azure enthält einen User Principal Name (UPN).

Damit StorageGRID (der Dienstanbieter) und der SSO-Identitätsanbieter sicher über Benutzerauthentifizierungsanforderungen kommunizieren können, müssen Sie bestimmte Einstellungen in StorageGRID konfigurieren. Als Nächstes müssen Sie die Software des SSO-Identitätsanbieters verwenden, um für jeden Admin-Knoten eine Vertrauensstellung der vertrauenden Seite (AD FS), eine Unternehmensanwendung (Azure) oder einen Dienstanbieter (PingFederate) zu erstellen. Abschließend müssen Sie zu StorageGRID zurückkehren, um SSO zu aktivieren.

Der Sandbox-Modus erleichtert die Durchführung dieser Hin- und Her-Konfiguration und das Testen aller Ihrer Einstellungen, bevor Sie SSO aktivieren. Wenn Sie den Sandbox-Modus verwenden, können sich Benutzer nicht per SSO anmelden.

Zugriff auf den Sandbox-Modus

Schritte

  1. Wählen Sie KONFIGURATION > Zugriffskontrolle > Einmaliges Anmelden.

    Die Seite „Single Sign-On“ wird mit der ausgewählten Option Deaktiviert angezeigt.

    Single Sign-On-Seite mit deaktiviertem SSO-Status
    Hinweis Wenn die SSO-Statusoptionen nicht angezeigt werden, bestätigen Sie, dass Sie den Identitätsanbieter als Verbundidentitätsquelle konfiguriert haben. Sehen "Anforderungen und Überlegungen zur einmaligen Anmeldung" .

  2. Wählen Sie Sandbox-Modus.

    Der Abschnitt „Identitätsanbieter“ wird angezeigt.

Geben Sie die Details des Identitätsanbieters ein

Schritte

  1. Wählen Sie den SSO-Typ aus der Dropdown-Liste aus.

  2. Füllen Sie die Felder im Abschnitt „Identitätsanbieter“ basierend auf dem von Ihnen ausgewählten SSO-Typ aus.

    Active Directory

    1. Geben Sie den Verbunddienstnamen für den Identitätsanbieter genau so ein, wie er im Active Directory Federation Service (AD FS) angezeigt wird.

      Hinweis Um den Namen des Verbunddienstes zu finden, gehen Sie zum Windows Server-Manager. Wählen Sie Tools > AD FS-Verwaltung. Wählen Sie im Aktionsmenü Eigenschaften des Verbunddienstes bearbeiten aus. Der Name des Verbunddienstes wird im zweiten Feld angezeigt.

    2. Geben Sie an, welches TLS-Zertifikat zum Sichern der Verbindung verwendet wird, wenn der Identitätsanbieter als Antwort auf StorageGRID -Anfragen SSO-Konfigurationsinformationen sendet.

      • CA-Zertifikat des Betriebssystems verwenden: Verwenden Sie das auf dem Betriebssystem installierte Standard-CA-Zertifikat, um die Verbindung zu sichern.

      • Benutzerdefiniertes CA-Zertifikat verwenden: Verwenden Sie ein benutzerdefiniertes CA-Zertifikat, um die Verbindung zu sichern.

        Wenn Sie diese Einstellung auswählen, kopieren Sie den Text des benutzerdefinierten Zertifikats und fügen Sie ihn in das Textfeld CA-Zertifikat ein.

      • TLS nicht verwenden: Verwenden Sie kein TLS-Zertifikat, um die Verbindung zu sichern.

        Achtung Wenn Sie das CA-Zertifikat ändern, sofort"Starten Sie den mgmt-api-Dienst auf den Admin-Knoten neu" und testen Sie, ob eine erfolgreiche einmalige Anmeldung beim Grid Manager erfolgt.

    3. Geben Sie im Abschnitt „Relying Party“ die Relying Party-Kennung für StorageGRID an. Dieser Wert steuert den Namen, den Sie für jede Vertrauensstellung der vertrauenden Seite in AD FS verwenden.

      • Wenn Ihr Grid beispielsweise nur einen Admin-Knoten hat und Sie nicht beabsichtigen, in Zukunft weitere Admin-Knoten hinzuzufügen, geben Sie SG oder StorageGRID .

      • Wenn Ihr Raster mehr als einen Admin-Knoten enthält, fügen Sie die Zeichenfolge ein [HOSTNAME] im Bezeichner. Beispiel: SG-[HOSTNAME] . Dadurch wird eine Tabelle generiert, die die Kennung der vertrauenden Partei für jeden Admin-Knoten in Ihrem System basierend auf dem Hostnamen des Knotens anzeigt.

        Einmaliges Anmelden
      Hinweis Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID -System eine Vertrauensstellung der vertrauenden Partei erstellen. Durch die Einrichtung einer Vertrauensstellung der vertrauenden Partei für jeden Admin-Knoten wird sichergestellt, dass sich Benutzer sicher bei jedem Admin-Knoten an- und abmelden können.

    4. Wählen Sie Speichern.

      Auf der Schaltfläche Speichern wird für einige Sekunden ein grünes Häkchen angezeigt.

      Schaltfläche „Speichern“ mit einem grünen Häkchen
    Azurblau

    1. Geben Sie an, welches TLS-Zertifikat zum Sichern der Verbindung verwendet wird, wenn der Identitätsanbieter als Antwort auf StorageGRID -Anfragen SSO-Konfigurationsinformationen sendet.

      • CA-Zertifikat des Betriebssystems verwenden: Verwenden Sie das auf dem Betriebssystem installierte Standard-CA-Zertifikat, um die Verbindung zu sichern.

      • Benutzerdefiniertes CA-Zertifikat verwenden: Verwenden Sie ein benutzerdefiniertes CA-Zertifikat, um die Verbindung zu sichern.

        Wenn Sie diese Einstellung auswählen, kopieren Sie den Text des benutzerdefinierten Zertifikats und fügen Sie ihn in das Textfeld CA-Zertifikat ein.

      • TLS nicht verwenden: Verwenden Sie kein TLS-Zertifikat, um die Verbindung zu sichern.

        Achtung Wenn Sie das CA-Zertifikat ändern, sofort"Starten Sie den mgmt-api-Dienst auf den Admin-Knoten neu" und testen Sie, ob eine erfolgreiche einmalige Anmeldung beim Grid Manager erfolgt.

    2. Geben Sie im Abschnitt „Unternehmensanwendung“ den Namen der Unternehmensanwendung für StorageGRID an. Dieser Wert steuert den Namen, den Sie für jede Unternehmensanwendung in Azure AD verwenden.

      • Wenn Ihr Grid beispielsweise nur einen Admin-Knoten hat und Sie nicht beabsichtigen, in Zukunft weitere Admin-Knoten hinzuzufügen, geben Sie SG oder StorageGRID .

      • Wenn Ihr Raster mehr als einen Admin-Knoten enthält, fügen Sie die Zeichenfolge ein [HOSTNAME] im Bezeichner. Beispiel: SG-[HOSTNAME] . Dadurch wird eine Tabelle generiert, die basierend auf dem Hostnamen des Knotens einen Unternehmensanwendungsnamen für jeden Admin-Knoten in Ihrem System anzeigt.

        Einmaliges Anmelden
      Hinweis Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID System eine Unternehmensanwendung erstellen. Durch die Bereitstellung einer Unternehmensanwendung für jeden Admin-Knoten wird sichergestellt, dass sich Benutzer sicher bei jedem Admin-Knoten anmelden und abmelden können.

    3. Befolgen Sie die Schritte in"Erstellen von Unternehmensanwendungen in Azure AD" um für jeden in der Tabelle aufgeführten Admin-Knoten eine Unternehmensanwendung zu erstellen.

    4. Kopieren Sie aus Azure AD die URL der Verbundmetadaten für jede Unternehmensanwendung. Fügen Sie diese URL dann in das entsprechende Feld Federation metadata URL in StorageGRID ein.

    5. Nachdem Sie eine Föderationsmetadaten-URL für alle Admin-Knoten kopiert und eingefügt haben, wählen Sie Speichern.

      Auf der Schaltfläche Speichern wird für einige Sekunden ein grünes Häkchen angezeigt.

      Schaltfläche „Speichern“ mit einem grünen Häkchen
    PingFederate

    1. Geben Sie an, welches TLS-Zertifikat zum Sichern der Verbindung verwendet wird, wenn der Identitätsanbieter als Antwort auf StorageGRID -Anfragen SSO-Konfigurationsinformationen sendet.

      • CA-Zertifikat des Betriebssystems verwenden: Verwenden Sie das auf dem Betriebssystem installierte Standard-CA-Zertifikat, um die Verbindung zu sichern.

      • Benutzerdefiniertes CA-Zertifikat verwenden: Verwenden Sie ein benutzerdefiniertes CA-Zertifikat, um die Verbindung zu sichern.

        Wenn Sie diese Einstellung auswählen, kopieren Sie den Text des benutzerdefinierten Zertifikats und fügen Sie ihn in das Textfeld CA-Zertifikat ein.

      • TLS nicht verwenden: Verwenden Sie kein TLS-Zertifikat, um die Verbindung zu sichern.

        Achtung Wenn Sie das CA-Zertifikat ändern, sofort"Starten Sie den mgmt-api-Dienst auf den Admin-Knoten neu" und testen Sie, ob eine erfolgreiche einmalige Anmeldung beim Grid Manager erfolgt.

    2. Geben Sie im Abschnitt „Service Provider (SP)“ die * SP Verbindungs-ID* für StorageGRID an. Dieser Wert steuert den Namen, den Sie für jede SP Verbindung in PingFederate verwenden.

      • Wenn Ihr Grid beispielsweise nur einen Admin-Knoten hat und Sie nicht beabsichtigen, in Zukunft weitere Admin-Knoten hinzuzufügen, geben Sie SG oder StorageGRID .

      • Wenn Ihr Raster mehr als einen Admin-Knoten enthält, fügen Sie die Zeichenfolge ein [HOSTNAME] im Bezeichner. Beispiel: SG-[HOSTNAME] . Dadurch wird eine Tabelle generiert, die die SP Verbindungs-ID für jeden Admin-Knoten in Ihrem System basierend auf dem Hostnamen des Knotens anzeigt.

        Einmaliges Anmelden
      Hinweis Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID System eine SP -Verbindung erstellen. Durch eine SP -Verbindung für jeden Admin-Knoten wird sichergestellt, dass sich Benutzer sicher bei jedem Admin-Knoten anmelden und abmelden können.

    3. Geben Sie die URL der Verbundmetadaten für jeden Admin-Knoten im Feld URL der Verbundmetadaten an.

      Verwenden Sie das folgende Format:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    4. Wählen Sie Speichern.

      Auf der Schaltfläche Speichern wird für einige Sekunden ein grünes Häkchen angezeigt.

      Schaltfläche „Speichern“ mit einem grünen Häkchen

Konfigurieren von Vertrauensstellungen der vertrauenden Seite, Unternehmensanwendungen oder SP Verbindungen

Wenn die Konfiguration gespeichert ist, wird die Bestätigungsmeldung für den Sandbox-Modus angezeigt. Dieser Hinweis bestätigt, dass der Sandbox-Modus jetzt aktiviert ist, und bietet eine Übersichtsanleitung.

StorageGRID kann so lange wie nötig im Sandbox-Modus bleiben. Wenn jedoch auf der Single Sign-On-Seite der Sandbox-Modus ausgewählt ist, wird SSO für alle StorageGRID Benutzer deaktiviert. Nur lokale Benutzer können sich anmelden.

Befolgen Sie diese Schritte, um Vertrauensstellungen der vertrauenden Seite (Active Directory) zu konfigurieren, Unternehmensanwendungen zu vervollständigen (Azure) oder SP Verbindungen zu konfigurieren (PingFederate).

Active Directory
Schritte

  1. Gehen Sie zu Active Directory-Verbunddienste (AD FS).

  2. Erstellen Sie eine oder mehrere Vertrauensstellungen der vertrauenden Seite für StorageGRID und verwenden Sie dabei die einzelnen Kennungen der vertrauenden Seite, die in der Tabelle auf der Seite „ StorageGRID Single Sign-on“ angezeigt werden.

    Sie müssen für jeden in der Tabelle angezeigten Admin-Knoten eine Vertrauensstellung erstellen.

    Anweisungen finden Sie unter"Erstellen von Vertrauensstellungen der vertrauenden Seite in AD FS" .

Azurblau
Schritte

  1. Wählen Sie auf der Single Sign-On-Seite für den Admin-Knoten, bei dem Sie derzeit angemeldet sind, die Schaltfläche zum Herunterladen und Speichern der SAML-Metadaten aus.

  2. Wiederholen Sie dann für alle anderen Admin-Knoten in Ihrem Raster diese Schritte:

    1. Sign in .

    2. Wählen Sie KONFIGURATION > Zugriffskontrolle > Einmaliges Anmelden.

    3. Laden Sie die SAML-Metadaten für diesen Knoten herunter und speichern Sie sie.

  3. Gehen Sie zum Azure-Portal.

  4. Befolgen Sie die Schritte in"Erstellen von Unternehmensanwendungen in Azure AD" um die SAML-Metadatendatei für jeden Admin-Knoten in die entsprechende Azure-Unternehmensanwendung hochzuladen.

PingFederate
Schritte

  1. Wählen Sie auf der Single Sign-On-Seite für den Admin-Knoten, bei dem Sie derzeit angemeldet sind, die Schaltfläche zum Herunterladen und Speichern der SAML-Metadaten aus.

  2. Wiederholen Sie dann für alle anderen Admin-Knoten in Ihrem Raster diese Schritte:

    1. Sign in .

    2. Wählen Sie KONFIGURATION > Zugriffskontrolle > Einmaliges Anmelden.

    3. Laden Sie die SAML-Metadaten für diesen Knoten herunter und speichern Sie sie.

  3. Gehen Sie zu PingFederate.

  4. "Erstellen Sie eine oder mehrere Service Provider (SP)-Verbindungen für StorageGRID" . Verwenden Sie die SP Verbindungs-ID für jeden Admin-Knoten (angezeigt in der Tabelle auf der StorageGRID Single-Sign-On-Seite) und die SAML-Metadaten, die Sie für diesen Admin-Knoten heruntergeladen haben.

    Sie müssen für jeden in der Tabelle angezeigten Admin-Knoten eine SP Verbindung erstellen.

Testen Sie SSO-Verbindungen

Bevor Sie die Verwendung von Single Sign-On für Ihr gesamtes StorageGRID System erzwingen, sollten Sie bestätigen, dass Single Sign-On und Single Logout für jeden Admin-Knoten richtig konfiguriert sind.

Active Directory
Schritte

  1. Suchen Sie auf der StorageGRID Single Sign-On-Seite den Link in der Sandbox-Modus-Nachricht.

    Die URL wird aus dem Wert abgeleitet, den Sie in das Feld Name des Verbunddienstes eingegeben haben.

    URL für die Anmeldeseite des Identitätsanbieters

  2. Wählen Sie den Link aus oder kopieren Sie die URL und fügen Sie sie in einen Browser ein, um auf die Anmeldeseite Ihres Identitätsanbieters zuzugreifen.

  3. Um zu bestätigen, dass Sie sich mit SSO bei StorageGRID anmelden können, wählen Sie * Bei einer der folgenden Sites Sign in , wählen Sie die Kennung der vertrauenden Partei für Ihren primären Admin-Knoten und wählen Sie * Sign in.

    Testen der Vertrauensstellungen der vertrauenden Seite im SSO-Sandbox-Modus

  4. Geben Sie Ihren föderierten Benutzernamen und Ihr Passwort ein.

    • Wenn die SSO-An- und Abmeldevorgänge erfolgreich sind, wird eine Erfolgsmeldung angezeigt.

      Erfolgsmeldung zum SSO-Authentifizierungs- und Abmeldetest

    • Wenn der SSO-Vorgang nicht erfolgreich ist, wird eine Fehlermeldung angezeigt. Beheben Sie das Problem, löschen Sie die Cookies des Browsers und versuchen Sie es erneut.

  5. Wiederholen Sie diese Schritte, um die SSO-Verbindung für jeden Admin-Knoten in Ihrem Raster zu überprüfen.

Azurblau
Schritte

  1. Wechseln Sie im Azure-Portal zur Seite „Einmaliges Anmelden“.

  2. Wählen Sie Diese Anwendung testen.

  3. Geben Sie die Anmeldeinformationen eines Verbundbenutzers ein.

    • Wenn die SSO-An- und Abmeldevorgänge erfolgreich sind, wird eine Erfolgsmeldung angezeigt.

      Erfolgsmeldung zum SSO-Authentifizierungs- und Abmeldetest

    • Wenn der SSO-Vorgang nicht erfolgreich ist, wird eine Fehlermeldung angezeigt. Beheben Sie das Problem, löschen Sie die Cookies des Browsers und versuchen Sie es erneut.

  4. Wiederholen Sie diese Schritte, um die SSO-Verbindung für jeden Admin-Knoten in Ihrem Raster zu überprüfen.

PingFederate
Schritte

  1. Wählen Sie auf der StorageGRID Single Sign-On-Seite den ersten Link in der Sandbox-Modus-Nachricht aus.

    Wählen und testen Sie jeweils einen Link.

    Einmaliges Anmelden

  2. Geben Sie die Anmeldeinformationen eines Verbundbenutzers ein.

    • Wenn die SSO-An- und Abmeldevorgänge erfolgreich sind, wird eine Erfolgsmeldung angezeigt.

      Erfolgsmeldung zum SSO-Authentifizierungs- und Abmeldetest

    • Wenn der SSO-Vorgang nicht erfolgreich ist, wird eine Fehlermeldung angezeigt. Beheben Sie das Problem, löschen Sie die Cookies des Browsers und versuchen Sie es erneut.

  3. Wählen Sie den nächsten Link aus, um die SSO-Verbindung für jeden Admin-Knoten in Ihrem Raster zu überprüfen.

    Wenn die Meldung „Seite abgelaufen“ angezeigt wird, wählen Sie in Ihrem Browser die Schaltfläche Zurück und senden Sie Ihre Anmeldeinformationen erneut.

Aktivieren der einmaligen Anmeldung

Wenn Sie bestätigt haben, dass Sie sich mit SSO bei jedem Admin-Knoten anmelden können, können Sie SSO für Ihr gesamtes StorageGRID System aktivieren.

Tipp Wenn SSO aktiviert ist, müssen alle Benutzer SSO verwenden, um auf den Grid Manager, den Tenant Manager, die Grid Management API und die Tenant Management API zuzugreifen. Lokale Benutzer können nicht mehr auf StorageGRID zugreifen.
Schritte

  1. Wählen Sie KONFIGURATION > Zugriffskontrolle > Einmaliges Anmelden.

  2. Ändern Sie den SSO-Status in Aktiviert.

  3. Wählen Sie Speichern.

  4. Überprüfen Sie die Warnmeldung und wählen Sie OK.

    Single Sign-On ist jetzt aktiviert.

Tipp Wenn Sie das Azure-Portal verwenden und vom selben Computer aus auf StorageGRID zugreifen, den Sie auch für den Zugriff auf Azure verwenden, stellen Sie sicher, dass der Azure-Portal-Benutzer auch ein autorisierter StorageGRID Benutzer ist (ein Benutzer in einer Verbundgruppe, die in StorageGRID importiert wurde) oder melden Sie sich vom Azure-Portal ab, bevor Sie versuchen, sich bei StorageGRID anzumelden.