Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

SSO konfigurieren

Beitragende netapp-lhalbert
PDFs

Sie können dem Assistenten „SSO konfigurieren“ folgen und in den Sandbox-Modus wechseln, um Single Sign-On (SSO) zu konfigurieren und zu testen, bevor Sie es für alle StorageGRID Benutzer aktivieren. Nachdem SSO aktiviert wurde, können Sie bei Bedarf in den Sandbox-Modus zurückkehren, um die Konfiguration zu ändern oder erneut zu testen.

Bevor Sie beginnen

  • Sie sind im Grid Manager mit einem angemeldet"Unterstützter Webbrowser".

  • Sie haben die "Root-Zugriffsberechtigung".

  • Sie haben eine Identitätsföderation für Ihr StorageGRID System konfiguriert.

  • Für den Identitätsverbund LDAP-Diensttyp haben Sie je nach dem SSO-Identitätsanbieter, den Sie verwenden möchten, entweder Active Directory oder Entra ID ausgewählt.

    Konfigurierter LDAP-Servicetyp Optionen für SSO-Identitätsanbieter

    Active Directory Federation Service (AD FS)

    • Active Directory

    • Entra-ID

    • PingFederate

    Entra-ID

    Entra-ID
Über diese Aufgabe

Wenn SSO aktiviert ist und ein Benutzer versucht, sich bei einem Admin-Node anzumelden, sendet StorageGRID eine Authentifizierungsanforderung an den SSO-Identitäts-Provider. Der SSO-Identitäts-Provider sendet wiederum eine Authentifizierungsantwort zurück an StorageGRID, die angibt, ob die Authentifizierungsanforderung erfolgreich war. Für erfolgreiche Anfragen:

  • Die Antwort von Active Directory oder PingFederate enthält eine Universally Unique Identifier (UUID) für den Benutzer.

  • Die Antwort von Entra ID enthält einen User Principal Name (UPN).

Damit StorageGRID (der Dienstanbieter) und der SSO-Identitätsanbieter sicher über Benutzerauthentifizierungsanforderungen kommunizieren können, führen Sie die folgenden Aufgaben aus:

  1. Konfigurieren Sie die Einstellungen in StorageGRID.

  2. Verwenden Sie die Software des SSO-Identitätsanbieters, um für jeden Admin-Knoten eine Vertrauensstellung der vertrauenden Partei (AD FS), eine Unternehmensanwendung (Entra ID) oder einen Dienstanbieter (PingFederate) zu erstellen.

  3. Kehren Sie zu StorageGRID zurück, um SSO zu aktivieren.

Der Sandbox-Modus erleichtert die Durchführung dieser Hin- und Her-Konfiguration und das Testen aller Ihrer Einstellungen, bevor Sie SSO aktivieren. Wenn Sie den Sandbox-Modus verwenden, können sich Benutzer nicht per SSO anmelden.

Greifen Sie auf den Assistenten zu

Schritte

  1. Wählen Sie Konfiguration > Zugriffskontrolle > Einmaliges Anmelden. Die Seite „Single Sign-On“ wird angezeigt.

    Hinweis Wenn die Schaltfläche „SSO-Einstellungen konfigurieren“ deaktiviert ist, bestätigen Sie, dass Sie den Identitätsanbieter als Verbundidentitätsquelle konfiguriert haben. Weitere Informationen finden Sie unter "Voraussetzungen und Überlegungen für Single Sign-On" .

  2. Wählen Sie SSO-Einstellungen konfigurieren. Die Seite „Identitätsanbieterdetails angeben“ wird angezeigt.

Geben Sie die Details des Identitätsanbieters an

Schritte

  1. Wählen Sie aus der Dropdown-Liste den SSO-Typ aus.

  2. Wenn Sie Active Directory als SSO-Typ ausgewählt haben, geben Sie den Verbunddienstnamen für den Identitätsanbieter genau so ein, wie er im Active Directory Federation Service (AD FS) angezeigt wird.

    Hinweis Um den Namen des Föderationsdienstes zu finden, gehen Sie zu Windows Server Manager. Wählen Sie Tools > AD FS Management. Wählen Sie im Menü Aktion die Option Eigenschaften des Föderationsdienstes bearbeiten aus. Der Name des Föderationsdienstes wird im zweiten Feld angezeigt.

  3. Geben Sie an, welches TLS-Zertifikat zur Sicherung der Verbindung verwendet wird, wenn der Identitäts-Provider SSO-Konfigurationsinformationen als Antwort auf StorageGRID-Anforderungen sendet.

    • Verwenden Sie das Betriebssystem CA-Zertifikat: Verwenden Sie das auf dem Betriebssystem installierte Standard-CA-Zertifikat, um die Verbindung zu sichern.

    • Benutzerdefiniertes CA-Zertifikat verwenden: Verwenden Sie ein benutzerdefiniertes CA-Zertifikat, um die Verbindung zu sichern.

      Wenn Sie diese Einstellung auswählen, kopieren Sie den Text des benutzerdefinierten Zertifikats und fügen Sie ihn in das Textfeld CA-Zertifikat ein.

    • Verwenden Sie keine TLS: Verwenden Sie kein TLS-Zertifikat, um die Verbindung zu sichern.

      Achtung Wenn Sie das Zertifizierungsstellenzertifikat ändern, führen Sie sofort "Starten Sie den Management-API-Service auf den Admin-Nodes neu"eine erfolgreiche SSO-Prüfung im Grid Manager durch.

  4. Wählen Sie Weiter. Die Seite „Relying Party Identifier angeben“ wird angezeigt.

Geben Sie die Kennung der vertrauenden Partei an

  1. Füllen Sie die Felder auf der Seite „Identifikator der vertrauenden Seite angeben“ basierend auf dem von Ihnen ausgewählten SSO-Typ aus.

    Active Directory

    1. Geben Sie die Relying Party Identifier für StorageGRID an. Dieser Wert steuert den Namen, den Sie für jede Vertrauensstellung der vertrauenden Seite in AD FS verwenden.

      • Wenn Ihr Grid beispielsweise nur über einen Admin-Knoten verfügt und Sie in Zukunft nicht mehr Admin-Knoten hinzufügen möchten, geben Sie SG oder `StorageGRID`ein.

      • Wenn Ihr Raster mehr als einen Admin-Knoten enthält, fügen Sie die Zeichenfolge ein [HOSTNAME] im Bezeichner. Beispiel: SG-[HOSTNAME] . Durch Einfügen dieser Zeichenfolge wird eine Tabelle erstellt, die die Kennung der vertrauenden Partei für jeden Admin-Knoten im Raster basierend auf dem Hostnamen des Knotens anzeigt.

        Hinweis Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID-System ein Vertrauensverhältnis aufbauen. Mit einer Vertrauensbasis für jeden Admin-Knoten wird sichergestellt, dass Benutzer sich sicher bei und aus jedem Admin-Knoten anmelden können.

    2. Wählen Sie Speichern und Sandbox-Modus aufrufen.

    Entra-ID

    1. Geben Sie im Abschnitt „Unternehmensanwendung“ den Namen der Unternehmensanwendung für StorageGRID an. Dieser Wert steuert den Namen, den Sie für jede Unternehmensanwendung in Entra ID verwenden.

      • Wenn Ihr Grid beispielsweise nur über einen Admin-Knoten verfügt und Sie in Zukunft nicht mehr Admin-Knoten hinzufügen möchten, geben Sie SG oder `StorageGRID`ein.

      • Wenn Ihr Raster mehr als einen Admin-Knoten enthält, fügen Sie die Zeichenfolge ein [HOSTNAME] im Bezeichner. Beispiel: SG-[HOSTNAME] . Durch Einfügen dieser Zeichenfolge wird eine Tabelle erstellt, die basierend auf dem Hostnamen des Knotens einen Unternehmensanwendungsnamen für jeden Admin-Knoten in Ihrem System anzeigt.

        Hinweis Sie müssen eine Enterprise-Anwendung für jeden Admin-Knoten in Ihrem StorageGRID-System erstellen. Mit einer Enterprise-Anwendung für jeden Admin-Node wird sichergestellt, dass Benutzer sich sicher bei und aus jedem Admin-Node anmelden können.

    2. Befolgen Sie die Schritte in"Erstellen Sie Unternehmensanwendungen in Entra ID" um für jeden in der Tabelle aufgeführten Admin-Knoten eine Unternehmensanwendung zu erstellen.

    3. Kopieren Sie aus der Entra-ID die URL der Verbundmetadaten für jede Unternehmensanwendung. Fügen Sie diese URL dann in das entsprechende Feld Federation metadata URL in StorageGRID ein.

    4. Nachdem Sie eine Föderationsmetadaten-URL für alle Admin-Knoten kopiert und eingefügt haben, wählen Sie Speichern und in den Sandbox-Modus wechseln.

    PingFederate

    1. Geben Sie im Abschnitt Dienstanbieter (SP) die SP-Verbindungs-ID für StorageGRID an. Dieser Wert steuert den Namen, den Sie für jede SP-Verbindung in PingFederate verwenden.

      • Wenn Ihr Grid beispielsweise nur über einen Admin-Knoten verfügt und Sie in Zukunft nicht mehr Admin-Knoten hinzufügen möchten, geben Sie SG oder `StorageGRID`ein.

      • Wenn Ihr Raster mehr als einen Admin-Knoten enthält, fügen Sie die Zeichenfolge ein [HOSTNAME] im Bezeichner. Beispiel: SG-[HOSTNAME] . Durch Einfügen dieser Zeichenfolge wird eine Tabelle erstellt, die die SP Verbindungs-ID für jeden Admin-Knoten in Ihrem System basierend auf dem Hostnamen des Knotens anzeigt.

        Hinweis Sie müssen für jeden Admin-Knoten in Ihrem StorageGRID-System eine SP-Verbindung erstellen. Durch eine SP-Verbindung für jeden Admin-Node wird sichergestellt, dass Benutzer sich sicher bei und aus jedem Admin-Node anmelden können.

    2. Geben Sie im Feld Federation Metadaten-URL die URL der Federation Metadaten für jeden Admin-Node an.

      Verwenden Sie das folgende Format:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    3. Wählen Sie Speichern und Sandbox-Modus aufrufen.

Konfigurieren Sie Vertrauensstellungen von Drittanbietern, Unternehmensanwendungen oder SP-Verbindungen

Nachdem Sie die Konfiguration gespeichert und in den Sandbox-Modus gewechselt haben, können Sie die Konfiguration für den ausgewählten SSO-Typ abschließen und testen.

StorageGRID kann so lange wie nötig im Sandbox-Modus bleiben. Allerdings können sich nur Verbundbenutzer und lokale Benutzer anmelden.

Active Directory
Schritte

  1. Wechseln Sie zu Active Directory Federation Services (AD FS).

  2. Erstellen Sie eine oder mehrere Vertrauensstellungen der vertrauenden Seite für StorageGRID und verwenden Sie dabei die einzelnen Kennungen der vertrauenden Seite, die in der Tabelle auf der Seite „SSO konfigurieren“ angezeigt werden.

    Sie müssen für jeden in der Tabelle aufgeführten Admin-Node ein Vertrauen erstellen.

    Anweisungen hierzu finden Sie unter "Erstellen Sie Vertrauensstellungen von vertrauenswürdigen Parteien in AD FS".

Entra-ID
Schritte

  1. Wählen Sie auf der Seite Single Sign-On für den Admin-Node, bei dem Sie sich aktuell angemeldet haben, die Schaltfläche zum Herunterladen und Speichern der SAML-Metadaten aus.

  2. Wiederholen Sie dann für alle anderen Admin-Knoten in Ihrem Raster die folgenden Schritte:

    1. Melden Sie sich beim Knoten an.

    2. Wählen Sie Konfiguration > Zugriffskontrolle > Einmaliges Anmelden.

    3. Laden Sie die SAML-Metadaten für diesen Node herunter, und speichern Sie sie.

  3. Wechseln Sie zum Azure-Portal.

  4. Befolgen Sie die Schritte in"Erstellen Sie Unternehmensanwendungen in Entra ID" um die SAML-Metadatendatei für jeden Admin-Knoten in die entsprechende Entra ID-Unternehmensanwendung hochzuladen.

PingFederate
Schritte

  1. Wählen Sie auf der Seite Single Sign-On für den Admin-Node, bei dem Sie sich aktuell angemeldet haben, die Schaltfläche zum Herunterladen und Speichern der SAML-Metadaten aus.

  2. Wiederholen Sie dann für alle anderen Admin-Knoten in Ihrem Raster die folgenden Schritte:

    1. Melden Sie sich beim Knoten an.

    2. Wählen Sie Konfiguration > Zugriffskontrolle > Einmaliges Anmelden.

    3. Laden Sie die SAML-Metadaten für diesen Node herunter, und speichern Sie sie.

  3. Fahren Sie zur PingFederate.

  4. "Erstellen Sie eine oder mehrere SP-Verbindungen (Service-Provider) für StorageGRID" . Verwenden Sie die SP Verbindungs-ID für jeden Admin-Knoten (angezeigt in der Tabelle auf der Seite „SSO konfigurieren“) und die SAML-Metadaten, die Sie für diesen Admin-Knoten heruntergeladen haben.

    Für jeden in der Tabelle aufgeführten Admin-Node müssen Sie eine SP-Verbindung erstellen.

Testkonfiguration

Bevor Sie die Verwendung von Single Sign-On für Ihr gesamtes StorageGRID System erzwingen, bestätigen Sie, dass Single Sign-On und Single Logout für jeden Admin-Knoten richtig konfiguriert sind.

Active Directory
Schritte

  1. Suchen Sie auf der Seite „SSO konfigurieren“ den Link zum Schritt „Konfiguration testen“ des Assistenten.

    Die URL wird aus dem Wert abgeleitet, den Sie im Feld Federation Service Name eingegeben haben.

  2. Wählen Sie den Link aus, oder kopieren Sie die URL in einen Browser, um auf die Anmeldeseite Ihres Identitätsanbieters zuzugreifen.

  3. Um zu bestätigen, dass Sie SSO zur Anmeldung bei StorageGRID verwenden können, wählen Sie Anmelden bei einer der folgenden Sites, wählen Sie die bevertrauenden Partei-ID für Ihren primären Admin-Knoten und wählen Sie Anmelden.

  4. Geben Sie Ihren föderierten Benutzernamen und Ihr Kennwort ein.

    • Wenn die SSO-Anmelde- und -Abmeldevorgänge erfolgreich sind, wird eine Erfolgsmeldung angezeigt.

    • Wenn der SSO-Vorgang nicht erfolgreich ist, wird eine Fehlermeldung angezeigt. Beheben Sie das Problem, löschen Sie die Cookies des Browsers, und versuchen Sie es erneut.

  5. Wiederholen Sie diese Schritte, um die SSO-Verbindung für jeden Admin-Node in Ihrem Raster zu überprüfen.

Entra-ID
Schritte

  1. Wechseln Sie im Azure-Portal zur Seite Single Sign On.

  2. Wählen Sie Diese Anwendung testen.

  3. Geben Sie die Anmeldeinformationen eines föderierten Benutzers ein.

    • Wenn die SSO-Anmelde- und -Abmeldevorgänge erfolgreich sind, wird eine Erfolgsmeldung angezeigt.

    • Wenn der SSO-Vorgang nicht erfolgreich ist, wird eine Fehlermeldung angezeigt. Beheben Sie das Problem, löschen Sie die Cookies des Browsers, und versuchen Sie es erneut.

  4. Wiederholen Sie diese Schritte, um die SSO-Verbindung für jeden Admin-Node in Ihrem Raster zu überprüfen.

PingFederate
Schritte

  1. Wählen Sie auf der Seite „SSO konfigurieren“ den ersten Link in der Sandbox-Modus-Nachricht aus.

    Wählen Sie jeweils einen Link aus, und testen Sie ihn.

  2. Geben Sie die Anmeldeinformationen eines föderierten Benutzers ein.

    • Wenn die SSO-Anmelde- und -Abmeldevorgänge erfolgreich sind, wird eine Erfolgsmeldung angezeigt.

    • Wenn der SSO-Vorgang nicht erfolgreich ist, wird eine Fehlermeldung angezeigt. Beheben Sie das Problem, löschen Sie die Cookies des Browsers, und versuchen Sie es erneut.

  3. Wählen Sie den nächsten Link aus, um die SSO-Verbindung für jeden Admin-Node in Ihrem Raster zu überprüfen.

    Wenn eine Nachricht mit abgelaufener Seite angezeigt wird, wählen Sie in Ihrem Browser die Schaltfläche Zurück aus, und senden Sie Ihre Anmeldedaten erneut.

Aktivieren Sie Single Sign On

Wenn Sie bestätigt haben, dass Sie sich mit SSO bei jedem Admin-Node anmelden können, können Sie SSO für Ihr gesamtes StorageGRID System aktivieren.

Tipp Wenn SSO aktiviert ist, müssen alle Benutzer SSO verwenden, um auf den Grid Manager, den Mandanten-Manager, die Grid-Management-API und die Mandanten-Management-API zuzugreifen. Lokale Benutzer können nicht mehr auf StorageGRID zugreifen.
Schritte

  1. Wählen Sie im Schritt „Testkonfiguration“ des SSO-Konfigurationsassistenten die Option „SSO aktivieren“ aus.

  2. Überprüfen Sie die Warnmeldung und wählen Sie SSO aktivieren.

    Single Sign-On ist jetzt aktiviert. Die Seite „Single Sign-On“ wird angezeigt und enthält jetzt die Details für das gerade konfigurierte SSO.

  3. Um die Konfiguration zu bearbeiten, wählen Sie Bearbeiten.

  4. Um die einmalige Anmeldung zu deaktivieren, wählen Sie SSO deaktivieren.

Tipp Wenn Sie das Azure-Portal verwenden und von demselben Computer aus auf StorageGRID zugreifen, den Sie für den Zugriff auf Entra ID verwenden, stellen Sie sicher, dass der Azure-Portalbenutzer auch ein autorisierter StorageGRID Benutzer ist (ein Benutzer in einer Verbundgruppe, der in StorageGRID importiert wurde, oder melden Sie sich vom Azure-Portal ab, bevor Sie versuchen, sich bei StorageGRID anzumelden.