Skip to main content
SnapCenter software
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Administrar la autenticación multifactor (MFA)

PDF

Puede administrar la funcionalidad de autenticación multifactor (MFA) en el servidor del Servicio de federación de Active Directory (AD FS) y en el servidor de SnapCenter .

Habilitar la autenticación multifactor (MFA)

Puede habilitar la funcionalidad MFA para SnapCenter Server mediante comandos de PowerShell.

Acerca de esta tarea

  • SnapCenter admite inicios de sesión basados ​​en SSO cuando otras aplicaciones están configuradas en el mismo AD FS. En ciertas configuraciones de AD FS, SnapCenter podría requerir autenticación de usuario por razones de seguridad dependiendo de la persistencia de la sesión de AD FS.

  • La información sobre los parámetros que se pueden utilizar con el cmdlet y sus descripciones se puede obtener ejecutando Get-Help command_name . Alternativamente, también puedes ver "Guía de referencia de cmdlets del software SnapCenter" .

Antes de empezar

  • El Servicio de federación de Active Directory (AD FS) de Windows debe estar en funcionamiento en el dominio respectivo.

  • Debe tener un servicio de autenticación multifactor compatible con AD FS, como Azure MFA, Cisco Duo, etc.

  • La marca de tiempo de SnapCenter y del servidor AD FS deben ser las mismas independientemente de la zona horaria.

  • Obtenga y configure el certificado CA autorizado para SnapCenter Server.

    El certificado CA es obligatorio por las siguientes razones:

    • Asegura que las comunicaciones ADFS-F5 no se interrumpan porque los certificados autofirmados son únicos a nivel de nodo.

    • Garantiza que durante la actualización, reparación o recuperación ante desastres (DR) en una configuración independiente o de alta disponibilidad, el certificado autofirmado no se vuelva a crear, evitando así la reconfiguración de MFA.

    • Garantiza resoluciones IP-FQDN.

      Para obtener información sobre el certificado CA, consulte"Generar archivo CSR de certificado de CA" .

Pasos

  1. Conectarse al host de Servicios de federación de Active Directory (AD FS).

  2. Descargar el archivo de metadatos de federación de AD FS desde"https://<host Nombre de dominio completo>/FederationMetadata/2007-06/FederationMetadata.xml".

  3. Copie el archivo descargado en SnapCenter Server para habilitar la función MFA.

  4. Inicie sesión en SnapCenter Server como usuario administrador de SnapCenter a través de PowerShell.

  5. Mediante la sesión de PowerShell, genere el archivo de metadatos MFA de SnapCenter mediante el cmdlet New-SmMultifactorAuthenticationMetadata -path.

    El parámetro de ruta especifica la ruta para guardar el archivo de metadatos MFA en el host del servidor SnapCenter .

  6. Copie el archivo generado en el host de AD FS para configurar SnapCenter como entidad cliente.

  7. Habilite MFA para SnapCenter Server mediante el Set-SmMultiFactorAuthentication cmdlet.

  8. (Opcional) Verifique el estado y la configuración de MFA mediante Get-SmMultiFactorAuthentication cmdlet.

  9. Vaya a la consola de administración de Microsoft (MMC) y realice los siguientes pasos:

    1. Haga clic en Archivo > Agregar o quitar complemento.

    2. En la ventana Agregar o quitar complementos, seleccione Certificados y luego haga clic en Agregar.

    3. En la ventana del complemento Certificados, seleccione la opción Cuenta de equipo y haga clic en Finalizar.

    4. Haga clic en Raíz de consola > Certificados – Equipo local > Personal > Certificados.

    5. Haga clic con el botón derecho en el certificado de CA vinculado a SnapCenter y luego seleccione Todas las tareas > Administrar claves privadas.

    6. En el asistente de permisos realice los siguientes pasos:

      1. Haga clic en Agregar.

      2. Haga clic en Ubicaciones y seleccione el host en cuestión (parte superior de la jerarquía).

      3. Haga clic en Aceptar en la ventana emergente Ubicaciones.

      4. En el campo de nombre del objeto, ingrese 'IIS_IUSRS' y haga clic en Verificar nombres y haga clic en Aceptar.

        Si la comprobación es exitosa, haga clic en Aceptar.

  10. En el host de AD FS, abra el asistente de administración de AD FS y realice los siguientes pasos:

    1. Haga clic derecho en Confianzas de usuario autenticado > Agregar confianza de usuario autenticado > Iniciar.

    2. Seleccione la segunda opción y busque el archivo de metadatos MFA de SnapCenter y haga clic en Siguiente.

    3. Especifique un nombre para mostrar y haga clic en Siguiente.

    4. Seleccione una política de control de acceso según sea necesario y haga clic en Siguiente.

    5. Seleccione la configuración en la siguiente pestaña para establecerla como predeterminada.

    6. Haga clic en Finalizar.

      SnapCenter ahora se refleja como una parte confiable con el nombre para mostrar proporcionado.

  11. Seleccione el nombre y realice los siguientes pasos:

    1. Haga clic en Editar política de emisión de reclamaciones.

    2. Haga clic en Agregar regla y haga clic en Siguiente.

    3. Especifique un nombre para la regla de reclamación.

    4. Seleccione Active Directory como almacén de atributos.

    5. Seleccione el atributo como User-Principal-Name y el tipo de reclamo saliente como Name-ID.

    6. Haga clic en Finalizar.

  12. Ejecute los siguientes comandos de PowerShell en el servidor ADFS.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Realice los siguientes pasos para confirmar que los metadatos se importaron correctamente.

    1. Haga clic con el botón derecho en la cuenta de confianza del usuario confiante y seleccione Propiedades.

    2. Asegúrese de que los campos Puntos finales, Identificadores y Firma estén completos.

  14. Cierre todas las pestañas del navegador y vuelva a abrirlo para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.

La funcionalidad MFA de SnapCenter también se puede habilitar mediante API REST.

Para obtener información sobre la solución de problemas, consulte "Los intentos de inicio de sesión simultáneos en varias pestañas muestran un error de MFA" .

Actualizar metadatos de MFA de AD FS

Debe actualizar los metadatos de MFA de AD FS en SnapCenter siempre que haya alguna modificación en el servidor de AD FS, como una actualización, una renovación del certificado de CA, una recuperación ante desastres, etc.

Pasos

  1. Descargar el archivo de metadatos de federación de AD FS desde"https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Copie el archivo descargado en SnapCenter Server para actualizar la configuración de MFA.

  3. Actualice los metadatos de AD FS en SnapCenter ejecutando el siguiente cmdlet:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Cierre todas las pestañas del navegador y vuelva a abrirlo para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.

Actualizar metadatos de MFA de SnapCenter

Debe actualizar los metadatos de MFA de SnapCenter en AD FS siempre que haya alguna modificación en el servidor ADFS, como reparación, renovación de certificado de CA, DR, etc.

Pasos

  1. En el host de AD FS, abra el asistente de administración de AD FS y realice los siguientes pasos:

    1. Seleccione Fideicomisos de terceros que confían.

    2. Haga clic con el botón derecho en la relación de confianza creada para SnapCenter y seleccione Eliminar.

      Se mostrará el nombre definido por el usuario de la parte confiable.

    3. Habilitar la autenticación multifactor (MFA).

      Ver "Habilitar la autenticación multifactor" .

  2. Cierre todas las pestañas del navegador y vuelva a abrirlo para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.

Deshabilitar la autenticación multifactor (MFA)

Pasos

  1. Deshabilite MFA y limpie los archivos de configuración que se crearon cuando se habilitó MFA mediante el Set-SmMultiFactorAuthentication cmdlet.

  2. Cierre todas las pestañas del navegador y vuelva a abrirlo para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.