Skip to main content
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Creación de confianzas de parte de confianza en AD FS

Colaboradores

Debe utilizar los Servicios de Federación de Active Directory (AD FS) para crear una confianza de parte de confianza para cada nodo de administración del sistema. Puede crear confianzas de parte confiando mediante comandos de PowerShell, importando los metadatos de SAML desde StorageGRID o introduciendo los datos manualmente.

Crear una confianza de parte de confianza mediante Windows PowerShell

Puede utilizar Windows PowerShell para crear rápidamente una o más confianzas de parte que dependan.

Lo que necesitará
  • Configuró SSO en StorageGRID y conoce el nombre de dominio completo (o la dirección IP) y el identificador de la parte que confía para cada nodo de administrador del sistema.

    Nota Debe crear una confianza de parte de confianza para cada nodo de administrador en el sistema StorageGRID. Tener una confianza de parte que confía en cada nodo de administración garantiza que los usuarios puedan iniciar sesión de forma segura desde y hacia cualquier nodo de administración.
  • Tiene experiencia en la creación de confianzas de parte de confianza en AD FS o tiene acceso a la documentación de Microsoft AD FS.

  • Está utilizando el complemento Administración de AD FS y pertenece al grupo Administradores.

Acerca de esta tarea

Estas instrucciones se aplican a AD FS 4.0, que se incluye en Windows Server 2016. Si está utilizando AD FS 3.0, que se incluye con Windows 2012 R2, notará ligeras diferencias en el procedimiento. Consulte la documentación de Microsoft AD FS si tiene alguna pregunta.

Pasos
  1. En el menú de inicio de Windows, haga clic con el botón derecho del ratón en el icono de PowerShell y seleccione Ejecutar como administrador.

  2. En el símbolo del sistema de PowerShell, introduzca el siguiente comando:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Para Admin_Node_Identifier, Escriba el identificador de parte que confía para el nodo de administración, exactamente como aparece en la página Single Sign-On. Por ejemplo: SG-DC1-ADM1.

    • Para Admin_Node_FQDN, Escriba el nombre de dominio completo para el mismo nodo de administración. (Si es necesario, puede usar la dirección IP del nodo en su lugar. Sin embargo, si introduce una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear la confianza de esta parte que confía si esa dirección IP cambia alguna vez.)

  3. En Windows Server Manager, seleccione Herramientas > Administración de AD FS.

    Aparece la herramienta de administración de AD FS.

  4. Seleccione AD FS > fideicomisos de la parte.

    Aparece la lista de confianzas de parte de confianza.

  5. Agregar una directiva de control de acceso a la confianza de parte de confianza recién creada:

    1. Busque la parte de confianza que acaba de crear.

    2. Haga clic con el botón derecho del ratón en la confianza y seleccione Editar directiva de control de acceso.

    3. Seleccione una Política de control de acceso.

    4. Haga clic en aplicar y haga clic en Aceptar

  6. Agregar una política de emisión de reclamaciones a la nueva confianza de parte de confianza creada:

    1. Busque la parte de confianza que acaba de crear.

    2. Haga clic con el botón derecho del ratón en la confianza y seleccione Editar política de emisión de reclamaciones.

    3. Haga clic en Agregar regla.

    4. En la página Seleccionar plantilla de regla, seleccione Enviar atributos LDAP como reclamaciones en la lista y haga clic en Siguiente.

    5. En la página Configurar regla, introduzca un nombre para mostrar para esta regla.

      Por ejemplo, ObjectGUID to Name ID.

    6. Para el almacén de atributos, seleccione Active Directory.

    7. En la columna atributo LDAP de la tabla Mapping, escriba objectGUID.

    8. En la columna Tipo de reclamación saliente de la tabla asignación, seleccione ID de nombre en la lista desplegable.

    9. Haga clic en Finalizar y haga clic en Aceptar.

  7. Confirme que los metadatos se han importado correctamente.

    1. Haga clic con el botón derecho del ratón en la confianza de la parte que confía para abrir sus propiedades.

    2. Confirme que los campos de las fichas puntos finales, identificadores y firma se han rellenado.

      Si faltan metadatos, confirme que la dirección de metadatos de la Federación es correcta o simplemente introduzca los valores manualmente.

  8. Repita estos pasos para configurar una confianza de parte que confía para todos los nodos de administración del sistema StorageGRID.

  9. Cuando haya terminado, vuelva a StorageGRID y. "pruebe todos los fideicomisos de la parte de confianza" para confirmar que están correctamente configurados.

Crear una confianza de parte de confianza mediante la importación de metadatos de federación

Puede importar los valores de cada una de las partes que confía mediante el acceso a los metadatos de SAML de cada nodo de administrador.

Lo que necesitará
  • Configuró SSO en StorageGRID y conoce el nombre de dominio completo (o la dirección IP) y el identificador de la parte que confía para cada nodo de administrador del sistema.

    Nota Debe crear una confianza de parte de confianza para cada nodo de administrador en el sistema StorageGRID. Tener una confianza de parte que confía en cada nodo de administración garantiza que los usuarios puedan iniciar sesión de forma segura desde y hacia cualquier nodo de administración.
  • Tiene experiencia en la creación de confianzas de parte de confianza en AD FS o tiene acceso a la documentación de Microsoft AD FS.

  • Está utilizando el complemento Administración de AD FS y pertenece al grupo Administradores.

Acerca de esta tarea

Estas instrucciones se aplican a AD FS 4.0, que se incluye en Windows Server 2016. Si está utilizando AD FS 3.0, que se incluye con Windows 2012 R2, notará ligeras diferencias en el procedimiento. Consulte la documentación de Microsoft AD FS si tiene alguna pregunta.

Pasos
  1. En Windows Server Manager, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.

  2. En acciones, haga clic en Agregar confianza de parte de confianza.

  3. En la página de bienvenida, elija Claims aware y haga clic en Inicio.

  4. Seleccione Importar datos sobre la parte que confía publicada en línea o en una red local.

  5. En Dirección de metadatos de Federación (nombre de host o URL), escriba la ubicación de los metadatos SAML para este nodo de administración:

    https://Admin_Node_FQDN/api/saml-metadata

    Para Admin_Node_FQDN, Escriba el nombre de dominio completo para el mismo nodo de administración. (Si es necesario, puede usar la dirección IP del nodo en su lugar. Sin embargo, si introduce una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear la confianza de esta parte que confía si esa dirección IP cambia alguna vez.)

  6. Complete el asistente Trust Party Trust, guarde la confianza de la parte que confía y cierre el asistente.

    Nota Al introducir el nombre para mostrar, utilice el identificador de parte de confianza para el nodo de administración, exactamente como aparece en la página Single Sign-On en Grid Manager. Por ejemplo: SG-DC1-ADM1.
  7. Agregar una regla de reclamación:

    1. Haga clic con el botón derecho del ratón en la confianza y seleccione Editar política de emisión de reclamaciones.

    2. Haga clic en Agregar regla:

    3. En la página Seleccionar plantilla de regla, seleccione Enviar atributos LDAP como reclamaciones en la lista y haga clic en Siguiente.

    4. En la página Configurar regla, introduzca un nombre para mostrar para esta regla.

      Por ejemplo, ObjectGUID to Name ID.

    5. Para el almacén de atributos, seleccione Active Directory.

    6. En la columna atributo LDAP de la tabla Mapping, escriba objectGUID.

    7. En la columna Tipo de reclamación saliente de la tabla asignación, seleccione ID de nombre en la lista desplegable.

    8. Haga clic en Finalizar y haga clic en Aceptar.

  8. Confirme que los metadatos se han importado correctamente.

    1. Haga clic con el botón derecho del ratón en la confianza de la parte que confía para abrir sus propiedades.

    2. Confirme que los campos de las fichas puntos finales, identificadores y firma se han rellenado.

      Si faltan metadatos, confirme que la dirección de metadatos de la Federación es correcta o simplemente introduzca los valores manualmente.

  9. Repita estos pasos para configurar una confianza de parte que confía para todos los nodos de administración del sistema StorageGRID.

  10. Cuando haya terminado, vuelva a StorageGRID y. "pruebe todos los fideicomisos de la parte de confianza" para confirmar que están correctamente configurados.

Crear una confianza de parte de confianza manualmente

Si elige no importar los datos de las confianzas de la pieza de confianza, puede introducir los valores manualmente.

Lo que necesitará
  • Configuró SSO en StorageGRID y conoce el nombre de dominio completo (o la dirección IP) y el identificador de la parte que confía para cada nodo de administrador del sistema.

    Nota Debe crear una confianza de parte de confianza para cada nodo de administrador en el sistema StorageGRID. Tener una confianza de parte que confía en cada nodo de administración garantiza que los usuarios puedan iniciar sesión de forma segura desde y hacia cualquier nodo de administración.
  • Tiene el certificado personalizado que se cargó para la interfaz de gestión StorageGRID, o bien sabe cómo iniciar sesión en un nodo de administrador desde el shell de comandos.

  • Tiene experiencia en la creación de confianzas de parte de confianza en AD FS o tiene acceso a la documentación de Microsoft AD FS.

  • Está utilizando el complemento Administración de AD FS y pertenece al grupo Administradores.

Acerca de esta tarea

Estas instrucciones se aplican a AD FS 4.0, que se incluye en Windows Server 2016. Si está utilizando AD FS 3.0, que se incluye con Windows 2012 R2, notará ligeras diferencias en el procedimiento. Consulte la documentación de Microsoft AD FS si tiene alguna pregunta.

Pasos
  1. En Windows Server Manager, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.

  2. En acciones, haga clic en Agregar confianza de parte de confianza.

  3. En la página de bienvenida, elija Claims aware y haga clic en Inicio.

  4. Seleccione introducir datos sobre la parte que confía manualmente y haga clic en Siguiente.

  5. Complete el asistente Trust Party Trust:

    1. Introduzca un nombre de visualización para este nodo de administración.

      Para obtener coherencia, utilice el identificador de parte de confianza para el nodo de administración, exactamente como aparece en la página de inicio de sesión único en Grid Manager. Por ejemplo: SG-DC1-ADM1.

    2. Omitir el paso para configurar un certificado de cifrado de token opcional.

    3. En la página Configurar URL, active la casilla de verificación Activar compatibilidad con el protocolo WebSSO de SAML 2.0.

    4. Escriba la URL del extremo de servicio SAML para el nodo de administración:

      https://Admin_Node_FQDN/api/saml-response

      Para Admin_Node_FQDN, Escriba el nombre de dominio completo para el nodo de administración. (Si es necesario, puede usar la dirección IP del nodo en su lugar. Sin embargo, si introduce una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear la confianza de esta parte que confía si esa dirección IP cambia alguna vez.)

    5. En la página Configurar identificadores, especifique el identificador de parte que confía para el mismo nodo de administración:

      Admin_Node_Identifier

      Para Admin_Node_Identifier, Escriba el identificador de parte que confía para el nodo de administración, exactamente como aparece en la página Single Sign-On. Por ejemplo: SG-DC1-ADM1.

    6. Revise la configuración, guarde la confianza de la parte que confía y cierre el asistente.

      Aparecerá el cuadro de diálogo Editar directiva de emisión de reclamaciones.

    Nota Si el cuadro de diálogo no aparece, haga clic con el botón derecho del ratón en la confianza y seleccione Editar directiva de emisión de reclamaciones.
  6. Para iniciar el asistente para reglas de reclamación, haga clic en Agregar regla:

    1. En la página Seleccionar plantilla de regla, seleccione Enviar atributos LDAP como reclamaciones en la lista y haga clic en Siguiente.

    2. En la página Configurar regla, introduzca un nombre para mostrar para esta regla.

      Por ejemplo, ObjectGUID to Name ID.

    3. Para el almacén de atributos, seleccione Active Directory.

    4. En la columna atributo LDAP de la tabla Mapping, escriba objectGUID.

    5. En la columna Tipo de reclamación saliente de la tabla asignación, seleccione ID de nombre en la lista desplegable.

    6. Haga clic en Finalizar y haga clic en Aceptar.

  7. Haga clic con el botón derecho del ratón en la confianza de la parte que confía para abrir sus propiedades.

  8. En la ficha endpoints, configure el extremo para un único cierre de sesión (SLO):

    1. Haga clic en Agregar SAML.

    2. Seleccione Tipo de extremo > SAML Logout.

    3. Seleccione enlace > Redirigir.

    4. En el campo Trusted URL, introduzca la dirección URL utilizada para cerrar sesión único (SLO) desde este nodo de administración:

      https://Admin_Node_FQDN/api/saml-logout

    Para Admin_Node_FQDN, Escriba el nombre de dominio completo del nodo de administración. (Si es necesario, puede usar la dirección IP del nodo en su lugar. Sin embargo, si introduce una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear la confianza de esta parte que confía si esa dirección IP cambia alguna vez.)

    1. Haga clic en Aceptar.

  9. En la ficha firma, especifique el certificado de firma para esta confianza de parte de confianza:

    1. Agregue el certificado personalizado:

      • Si posee el certificado de gestión personalizado cargado en StorageGRID, seleccione ese certificado.

      • Si no tiene el certificado personalizado, inicie sesión en el nodo de administrador, vaya al /var/local/mgmt-api directorio del nodo Admin y añada el custom-server.crt archivo de certificado.

        Nota: utilizando el certificado predeterminado del nodo de administración (server.crt) no es recomendable. Si falla el nodo de administración, el certificado predeterminado se regenerará al recuperar el nodo y deberá actualizar la confianza de la parte de confianza.

    2. Haga clic en aplicar y haga clic en Aceptar.

      Las propiedades de la parte de confianza se guardan y cierran.

  10. Repita estos pasos para configurar una confianza de parte que confía para todos los nodos de administración del sistema StorageGRID.

  11. Cuando haya terminado, vuelva a StorageGRID y. "pruebe todos los fideicomisos de la parte de confianza" para confirmar que están correctamente configurados.