Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestionar la autenticación multifactor (MFA)

Colaboradores
PDF

Puede administrar la funcionalidad de autenticación multifactor (MFA) en el servidor del servicio de federación de Active Directory (AD FS) y el servidor SnapCenter.

Habilitar la autenticación multifactor (MFA)

Puede habilitar la funcionalidad MFA para SnapCenter Server con los comandos de PowerShell.

Acerca de esta tarea

  • SnapCenter admite inicios de sesión basados en SSO cuando otras aplicaciones están configuradas en el mismo AD FS. En determinadas configuraciones de AD FS, SnapCenter puede requerir autenticación de usuario por motivos de seguridad, dependiendo de la persistencia de la sesión de AD FS.

  • La información sobre los parámetros que se pueden utilizar con el cmdlet y sus descripciones se puede obtener ejecutando Get-Help command_name. Como alternativa, también puede ver "Guía de referencia de cmdlets de SnapCenter Software".

Antes de empezar

  • El servicio de Federación de Active Directory de Windows (AD FS) debe estar activo y en ejecución en el dominio correspondiente.

  • Debe tener un servicio de autenticación multifactor compatible con AD FS, como Azure MFA, Cisco Duo, etc.

  • La Marca de hora del servidor SnapCenter y AD FS debe ser la misma independientemente de la zona horaria.

  • Adquirir y configurar el certificado de CA autorizado para SnapCenter Server.

    El certificado DE CA es obligatorio por los siguientes motivos:

    • Garantiza que las comunicaciones ADFS-F5 no se interrumpan porque los certificados autofirmados son únicos en el nivel de nodo.

    • Garantiza que durante la actualización, reparación o recuperación ante desastres en una configuración independiente o de alta disponibilidad, el certificado autofirmado no se vuelva a crear, con lo que se evita la reconfiguración de la MFA.

    • Garantiza resoluciones IP-FQDN.

      Para obtener información sobre el certificado de CA, consulte "Genere un archivo CSR de certificado de CA".

Pasos

  1. Conéctese al host de Servicios de Federación de Active Directory (AD FS).

  2. Descargue el archivo de metadatos de la federación de AD FS desde "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml.

  3. Copie el archivo descargado en el servidor SnapCenter para habilitar la función MFA.

  4. Inicie sesión en SnapCenter Server como usuario administrador de SnapCenter mediante PowerShell.

  5. Con la sesión de PowerShell, genere el archivo de metadatos MFA de SnapCenter mediante el cmdlet New-SmMultifactorAuthenticationMetadata -path.

    El parámetro path especifica la ruta al guardar el archivo de metadatos de MFA en el host del servidor de SnapCenter.

  6. Copie el archivo generado en el host AD FS para configurar SnapCenter como entidad cliente.

  7. Habilite la MFA para el servidor de SnapCenter mediante el Set-SmMultiFactorAuthentication cmdlet.

  8. (Opcional) Compruebe el estado y la configuración de MFA mediante Get-SmMultiFactorAuthentication cmdlet.

  9. Vaya a la consola de administración de Microsoft (MMC) y realice los pasos siguientes:

    1. Haga clic en Archivo > Agregar o quitar Snapin.

    2. En la ventana Agregar o quitar complementos, seleccione certificados y, a continuación, haga clic en Agregar.

    3. En la ventana del complemento certificados, seleccione la opción cuenta de equipo y, a continuación, haga clic en Finalizar.

    4. Haga clic en raíz de consola > certificados – Equipo local > personal > certificados.

    5. Haga clic con el botón derecho del ratón en el certificado de CA vinculado a SnapCenter y, a continuación, seleccione todas las tareas > Administrar claves privadas.

    6. En el asistente de permisos, realice los siguientes pasos:

      1. Haga clic en Agregar.

      2. Haga clic en Ubicaciones y seleccione el host en cuestión (parte superior de la jerarquía).

      3. Haga clic en Aceptar en la ventana emergente Ubicaciones.

      4. En el campo de nombre de objeto, introduzca ‘IIS_IUSRS’ y haga clic en comprobar nombres y haga clic en Aceptar.

        Si la comprobación se realiza correctamente, haga clic en Aceptar.

  10. En el host AD FS, abra el asistente de administración de AD FS y realice los siguientes pasos:

    1. Haga clic con el botón derecho del ratón en Fideicomiso del Partido > Agregar confianza del Partido > Inicio.

    2. Seleccione la segunda opción y examine el archivo de metadatos de MFA de SnapCenter y haga clic en Siguiente.

    3. Especifique un nombre para mostrar y haga clic en Siguiente.

    4. Elija una política de control de acceso según sea necesario y haga clic en Siguiente.

    5. Seleccione la configuración en la siguiente ficha para Predeterminado.

    6. Haga clic en Finalizar.

      SnapCenter se refleja ahora como una parte que confía en el nombre para mostrar proporcionado.

  11. Seleccione el nombre y realice los siguientes pasos:

    1. Haga clic en Editar directiva de emisión de reclamaciones.

    2. Haga clic en Agregar regla y haga clic en Siguiente.

    3. Especifique un nombre para la regla de reclamación.

    4. Seleccione Active Directory como almacén de atributos.

    5. Seleccione el atributo como Nombre-principal-usuario y el tipo de reclamación saliente como Nombre-ID.

    6. Haga clic en Finalizar.

  12. Ejecute los siguientes comandos de PowerShell en el servidor ADFS.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Realice los siguientes pasos para confirmar que los metadatos se han importado correctamente.

    1. Haga clic con el botón derecho del ratón en la confianza de la parte que confía y seleccione Propiedades.

    2. Asegúrese de que se rellenan los campos puntos finales, identificadores y firma.

  14. Cierre todas las pestañas del navegador y vuelva a abrir un navegador para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.

La funcionalidad MFA de SnapCenter también se puede habilitar usando las API de REST.

Para obtener información sobre la solución de problemas, consulte "Los intentos de inicio de sesión simultáneos en varias pestañas muestran un error MFA".

Actualizar metadatos de MFA de AD FS

Debe actualizar los metadatos de la MFA de AD FS en SnapCenter cada vez que haya alguna modificación en el servidor de AD FS, como la actualización, la renovación de certificados de CA, la recuperación ante desastres, etc.

Pasos

  1. Descargue el archivo de metadatos de la federación de AD FS desde "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Copie el archivo descargado en el servidor SnapCenter para actualizar la configuración de MFA.

  3. Actualice los metadatos de AD FS en SnapCenter ejecutando el siguiente cmdlet:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Cierre todas las pestañas del navegador y vuelva a abrir un navegador para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.

Actualice los metadatos de MFA de SnapCenter

Debe actualizar los metadatos del MFA de SnapCenter en AD FS cada vez que haya alguna modificación en el servidor ADFS como, por ejemplo, la reparación, la renovación de certificados de CA, la recuperación ante desastres, etc.

Pasos

  1. En el host AD FS, abra el asistente de administración de AD FS y realice los siguientes pasos:

    1. Haga clic en fideicomisos de parte.

    2. Haga clic con el botón derecho del ratón en la confianza de la parte que confía que se creó para SnapCenter y haga clic en Eliminar.

      Se mostrará el nombre definido por el usuario de la confianza de la parte que confía.

    3. Habilite la autenticación multifactor (MFA).

      Consulte "Active la autenticación multifactor".

  2. Cierre todas las pestañas del navegador y vuelva a abrir un navegador para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.

Deshabilitar la autenticación multifactor (MFA)

Pasos

  1. Deshabilite la MFA y borre los archivos de configuración que se crearon cuando se habilitó MFA con el Set-SmMultiFactorAuthentication cmdlet.

  2. Cierre todas las pestañas del navegador y vuelva a abrir un navegador para borrar las cookies de sesión existentes o activas y vuelva a iniciar sesión.