Skip to main content
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Requisitos y consideraciones para el inicio de sesión único

Colaboradores

Antes de activar el inicio de sesión único (SSO) para un sistema StorageGRID, revise los requisitos y consideraciones.

Requisitos del proveedor de identidades

StorageGRID admite los siguientes proveedores de identidad de SSO (IDP):

  • Servicio de Federación de Active Directory (AD FS)

  • Azure Active Directory (Azure AD)

  • PingFederate

Debe configurar la federación de identidades para el sistema StorageGRID antes de poder configurar un proveedor de identidades SSO. El tipo de servicio LDAP que utiliza para controlar la federación de identidades qué tipo de SSO puede implementar.

Se ha configurado el tipo de servicio LDAP Opciones para el proveedor de identidades SSO

Active Directory

  • Active Directory

  • Azure

  • PingFederate

Azure

Azure

Requisitos DE AD FS

Puede utilizar cualquiera de las siguientes versiones de AD FS:

  • Windows Server 2022 AD FS

  • Windows Server 2019 AD FS

  • Windows Server 2016 AD FS

Nota Windows Server 2016 debe utilizar "Actualización KB3201845", o superior.
  • AD FS 3.0, incluido con la actualización de Windows Server 2012 R2 o superior.

Requisitos adicionales

  • Seguridad de la capa de transporte (TLS) 1.2 ó 1.3

  • Microsoft .NET Framework, versión 3.5.1 o posterior

Consideraciones para Azure

Si usa Azure como tipo SSO y los usuarios tienen nombres principales de usuario que no usan sAMAccountName como prefijo, pueden producirse problemas de inicio de sesión si StorageGRID pierde su conexión con el servidor LDAP. Para permitir que los usuarios inicien sesión, debe restaurar la conexión con el servidor LDAP.

Requisitos de certificado de servidor

De forma predeterminada, StorageGRID utiliza un certificado de interfaz de gestión en cada nodo de administración para garantizar el acceso a Grid Manager, al Gestor de inquilinos, a la API de gestión de grid y a la API de gestión de inquilinos. Cuando configura confianzas de partes confiadas (AD FS), aplicaciones empresariales (Azure) o conexiones de proveedores de servicio (PingFederate) para StorageGRID, utilizará el certificado de servidor como certificado de firma para las solicitudes StorageGRID.

Si aún no lo ha hecho "se configuró un certificado personalizado para la interfaz de gestión", usted debe hacerlo ahora. Cuando instala un certificado de servidor personalizado, se utiliza para todos los nodos de administrador y puede usarlo en todas las confianzas de parte que dependen de StorageGRID, aplicaciones de empresa o conexiones del SP.

Nota No se recomienda utilizar el certificado de servidor predeterminado de un nodo de administración en la confianza de una parte que confía, la aplicación de empresa o la conexión de SP. Si el nodo falla y lo recupera, se genera un nuevo certificado de servidor predeterminado. Antes de iniciar sesión en el nodo recuperado, debe actualizar la confianza de la parte que confía, la aplicación de empresa o la conexión del SP con el nuevo certificado.

Para acceder a la certificación de servidor de un nodo de administrador, inicie sesión en el shell de comandos del nodo y vaya al /var/local/mgmt-api directorio. Se denomina certificado de servidor personalizado custom-server.crt. El certificado de servidor predeterminado del nodo se denomina server.crt.

Requisitos de puertos

El inicio de sesión único (SSO) no está disponible en los puertos de administrador de grid restringido o de administrador de inquilinos. Debe utilizar el puerto HTTPS predeterminado (443) si desea que los usuarios se autentiquen con inicio de sesión único. Consulte "Controle el acceso a un firewall externo".