Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Mediante la federación de identidades

Colaboradores
PDF

El uso de la federación de identidades agiliza la configuración de grupos y usuarios y permite a los usuarios iniciar sesión en StorageGRID utilizando credenciales conocidas.

Configurando la federación de identidades

Puede configurar la federación de identidades si desea que los grupos de administración y los usuarios se gestionen en otro sistema, como Active Directory, OpenLDAP u Oracle Directory Server.

Lo que necesitará

  • Debe iniciar sesión en Grid Manager mediante un explorador compatible.

  • Debe tener permisos de acceso específicos.

  • Si planea habilitar el inicio de sesión único (SSO), debe utilizar Active Directory como el origen de identidad federado y AD FS como proveedor de identidades. Véase «'requisitos para el uso de la entrada única».

  • Debe utilizar Active Directory, OpenLDAP o Oracle Directory Server como proveedor de identidades.

    Nota Si desea utilizar un servicio LDAP v3 que no esté en la lista, debe ponerse en contacto con el soporte técnico.

  • Si planea utilizar la seguridad de la capa de transporte (TLS) para las comunicaciones con el servidor LDAP, el proveedor de identidades debe usar TLS 1.2 o 1.3.

Acerca de esta tarea

Debe configurar un origen de identidad para el Gestor de grid si desea importar los siguientes tipos de grupos federados:

  • Grupos administrativos. Los usuarios de los grupos de administración pueden iniciar sesión en Grid Manager y realizar tareas basándose en los permisos de administración asignados al grupo.

  • Grupos de usuarios de inquilinos para inquilinos que no utilizan su propio origen de identidad. Los usuarios de grupos de inquilinos pueden iniciar sesión en el Administrador de inquilinos y realizar tareas, en función de los permisos asignados al grupo en el Administrador de inquilinos.

Pasos

  1. Seleccione Configuración > Control de acceso > Federación de identidades.

  2. Seleccione Activar federación de identidades.

    Aparecen los campos para configurar el servidor LDAP.

  3. En la sección Tipo de servicio LDAP, seleccione el tipo de servicio LDAP que desea configurar.

    Puede seleccionar Active Directory, OpenLDAP o otros.

    Nota Si selecciona OpenLDAP, debe configurar el servidor OpenLDAP. Consulte las directrices para configurar un servidor OpenLDAP.
    Nota Seleccione otros para configurar valores para un servidor LDAP que utilice Oracle Directory Server.

  4. Si ha seleccionado otros, complete los campos de la sección atributos LDAP .

    • Nombre único de usuario: Nombre del atributo que contiene el identificador único de un usuario LDAP. Este atributo es equivalente a. sAMAccountName Para Active Directory y. uid Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzca uid.

    • UUID de usuario: Nombre del atributo que contiene el identificador único permanente de un usuario LDAP. Este atributo es equivalente a. objectGUID Para Active Directory y. entryUUID Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzca nsuniqueid. El valor de cada usuario para el atributo especificado debe ser un número hexadecimal de 32 dígitos en formato de 16 bytes o de cadena, donde se ignoran los guiones.

    • Nombre único del grupo: Nombre del atributo que contiene el identificador único de un grupo LDAP. Este atributo es equivalente a. sAMAccountName Para Active Directory y. cn Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzca cn.

    • UUID de grupo: Nombre del atributo que contiene el identificador único permanente de un grupo LDAP. Este atributo es equivalente a. objectGUID Para Active Directory y. entryUUID Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzca nsuniqueid. El valor de cada grupo para el atributo especificado debe ser un número hexadecimal de 32 dígitos en formato de 16 bytes o de cadena, donde se ignoran los guiones.

  5. En la sección Configure LDAP Server, introduzca la información sobre el servidor LDAP y las conexiones de red necesarias.

    • Hostname: El nombre de host del servidor o la dirección IP del servidor LDAP.

    • Puerto: El puerto utilizado para conectarse al servidor LDAP.

      Nota El puerto predeterminado para STARTTLS es 389 y el puerto predeterminado para LDAPS es 636. Sin embargo, puede utilizar cualquier puerto siempre que su firewall esté configurado correctamente.

    • Nombre de usuario: La ruta completa del nombre completo (DN) para el usuario que se conectará al servidor LDAP.

      Nota Para Active Directory, también puede especificar el nombre de inicio de sesión de nivel inferior o el nombre principal del usuario.

      El usuario especificado debe tener permiso para enumerar grupos y usuarios y para tener acceso a los siguientes atributos:

      • sAMAccountName o. uid

      • objectGUID, entryUUID, o. nsuniqueid

      • cn

      • memberOf o. isMemberOf

    • Contraseña: La contraseña asociada al nombre de usuario.

    • DN base de grupo: La ruta completa del nombre distinguido (DN) para un subárbol LDAP que desea buscar grupos. En el ejemplo de Active Directory (a continuación), se pueden usar como grupos federados todos los grupos cuyo nombre distintivo sea relativo al DN base (DC=storagegrid,DC=example,DC=com).

      Nota Los valores de Nombre único de grupo deben ser únicos dentro del DN base de grupo al que pertenecen.

    • DN base de usuario: La ruta completa del nombre completo (DN) de un subárbol LDAP que desea buscar usuarios.

      Nota Los valores de Nombre único de usuario deben ser únicos dentro del DN base de usuario al que pertenecen.

  6. En la sección Seguridad de la capa de transporte (TLS), seleccione una configuración de seguridad.

    • Usar STARTTLS (recomendado): Usar STARTTLS para asegurar las comunicaciones con el servidor LDAP. Esta es la opción recomendada.

    • Use LDAPS: La opción LDAPS (LDAP sobre SSL) utiliza TLS para establecer una conexión con el servidor LDAP. Esta opción es compatible por motivos de compatibilidad.

    • No utilice TLS: El tráfico de red entre el sistema StorageGRID y el servidor LDAP no estará protegido.

      Nota El uso de la opción no usar TLS no es compatible si el servidor de Active Directory aplica la firma LDAP. Debe usar STARTTLS o LDAPS.

  7. Si seleccionó STARTTLS o LDAPS, elija el certificado utilizado para proteger la conexión.

    • Utilizar certificado CA del sistema operativo: Utilice el certificado CA predeterminado instalado en el sistema operativo para asegurar las conexiones.

    • Utilizar certificado de CA personalizado: Utilice un certificado de seguridad personalizado.

      Si selecciona esta opción, copie y pegue el certificado de seguridad personalizado en el cuadro de texto del certificado de CA.

  8. Opcionalmente, seleccione probar conexión para validar la configuración de conexión para el servidor LDAP.

    Si la conexión es válida, aparecerá un mensaje de confirmación en la esquina superior derecha de la página.

  9. Si la conexión es válida, seleccione Guardar.

    La siguiente captura de pantalla muestra valores de configuración de ejemplo para un servidor LDAP que utiliza Active Directory.

    Página Federación de identidades que muestra el servidor LDAP que utiliza Active Directory
Información relacionada

"Cifrados compatibles para conexiones TLS salientes"

"Requisitos para usar el inicio de sesión único"

"Crear una cuenta de inquilino"

"Usar una cuenta de inquilino"

Instrucciones para configurar un servidor OpenLDAP

Si desea utilizar un servidor OpenLDAP para la federación de identidades, debe configurar ajustes específicos en el servidor OpenLDAP.

Revestimientos memberOf y reft

Se deben habilitar las superposiciones memberof y reft. Para obtener más información, consulte las instrucciones para el mantenimiento de miembros del grupo inverso en la Guía del administrador para OpenLDAP.

Indización

Debe configurar los siguientes atributos OpenLDAP con las palabras clave de índice especificadas:

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

Además, asegúrese de que los campos mencionados en la ayuda para Nombre de usuario estén indexados para un rendimiento óptimo.

Consulte la información sobre el mantenimiento de pertenencia a grupos revertidos en la Guía del administrador para OpenLDAP.

Información relacionada

"Documentación de OpenLDAP: Guía del administrador de la versión 2.4"

Forzar la sincronización con el origen de identidades

El sistema StorageGRID sincroniza periódicamente grupos federados y usuarios del origen de identidades. Puede forzar el inicio de la sincronización si desea habilitar o restringir los permisos de usuario lo antes posible.

Lo que necesitará

  • Debe iniciar sesión en Grid Manager mediante un explorador compatible.

  • Debe tener permisos de acceso específicos.

  • El origen de identidades debe estar activado.

Pasos

  1. Seleccione Configuración > Control de acceso > Federación de identidades.

    Aparece la página Federación de identidades. El botón Sincronizar se encuentra en la parte inferior de la página.

    Captura de pantalla de Configuración > Federación de identidades > botón Sincronizar

  2. Haga clic en Sincronizar.

    Un mensaje de confirmación indica que la sincronización se ha iniciado correctamente. El proceso de sincronización puede tardar bastante tiempo en función del entorno.

    Nota La alerta fallo de sincronización de la federación de identidades se activa si hay un problema al sincronizar grupos federados y usuarios del origen de identidades.

Desactivar la federación de identidades

Puede deshabilitar temporalmente o de forma permanente la federación de identidades para grupos y usuarios. Cuando la federación de identidades está deshabilitada, no existe comunicación entre StorageGRID y el origen de identidades. Sin embargo, cualquier configuración que haya configurado se conservará, lo que le permitirá volver a habilitar fácilmente la federación de identidades en el futuro.

Lo que necesitará

  • Debe iniciar sesión en Grid Manager mediante un explorador compatible.

  • Debe tener permisos de acceso específicos.

Acerca de esta tarea

Antes de deshabilitar la federación de identidades, debe tener en cuenta lo siguiente:

  • Los usuarios federados no podrán iniciar sesión.

  • Los usuarios federados que hayan iniciado sesión en ese momento, retendrán el acceso al sistema StorageGRID hasta que caduque la sesión, pero no podrán iniciar sesión después de que caduque la sesión.

  • No se realizará la sincronización entre el sistema StorageGRID y el origen de identidad, y no se realizarán alertas ni alarmas para las cuentas que no se hayan sincronizado.

  • La casilla de verificación Activar Federación de identidades está desactivada si el inicio de sesión único (SSO) está establecido en activado o modo Sandbox. El estado de SSO de la página Single Sign-On debe ser Desactivado antes de poder deshabilitar la federación de identidades.

Pasos

  1. Seleccione Configuración > Control de acceso > Federación de identidades.

  2. Desactive la casilla de verificación Activar Federación de identidades.

  3. Haga clic en Guardar.

Información relacionada

"Desactivar el inicio de sesión único"