Usar la federación de identidades
El uso de la federación de identidades agiliza la configuración de usuarios y grupos de inquilinos, y permite a los usuarios de inquilinos iniciar sesión en la cuenta de inquilinos utilizando credenciales conocidas.
Configurar la federación de identidades para el Administrador de inquilinos
Puede configurar la federación de identidades para el administrador de inquilinos si desea que los grupos de inquilinos y los usuarios se gestionen en otro sistema como Active Directory, Azure Active Directory (Azure AD), OpenLDAP u Oracle Directory Server.
-
Ha iniciado sesión en el administrador de inquilinos mediante un "navegador web compatible".
-
Pertenece a un grupo de usuarios que tiene el "Permiso de acceso raíz".
-
Se utiliza Active Directory, Azure AD, OpenLDAP u Oracle Directory Server como proveedor de identidades.
Si desea utilizar un servicio LDAP v3 que no esté en la lista, póngase en contacto con el soporte técnico. -
Si planea utilizar OpenLDAP, debe configurar el servidor OpenLDAP. Consulte Instrucciones para configurar el servidor OpenLDAP.
-
Si planea utilizar la seguridad de la capa de transporte (TLS) para las comunicaciones con el servidor LDAP, el proveedor de identidades debe usar TLS 1.2 o 1.3. Consulte "Cifrados compatibles para conexiones TLS salientes".
Si puede configurar un servicio de federación de identidades para su inquilino depende de cómo se haya configurado su cuenta de inquilino. Es posible que el inquilino comparta el servicio de federación de identidades configurado para Grid Manager. Si ve este mensaje cuando accede a la página Identity Federation, no puede configurar un origen de identidad federado independiente para este arrendatario.
Introducir configuración
Al configurar Identify federation, proporciona los valores que StorageGRID necesita para conectarse a un servicio LDAP.
-
Seleccione ADMINISTRACIÓN de ACCESO > federación de identidades.
-
Seleccione Activar federación de identidades.
-
En la sección Tipo de servicio LDAP, seleccione el tipo de servicio LDAP que desea configurar.
Seleccione otros para configurar valores para un servidor LDAP que utilice Oracle Directory Server.
-
Si ha seleccionado otros, complete los campos de la sección atributos LDAP . De lo contrario, vaya al paso siguiente.
-
Nombre único de usuario: Nombre del atributo que contiene el identificador único de un usuario LDAP. Este atributo es equivalente a.
sAMAccountName
Para Active Directory y.uid
Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzcauid
. -
UUID de usuario: Nombre del atributo que contiene el identificador único permanente de un usuario LDAP. Este atributo es equivalente a.
objectGUID
Para Active Directory y.entryUUID
Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzcansuniqueid
. El valor de cada usuario para el atributo especificado debe ser un número hexadecimal de 32 dígitos en formato de 16 bytes o de cadena, donde se ignoran los guiones. -
Nombre único del grupo: Nombre del atributo que contiene el identificador único de un grupo LDAP. Este atributo es equivalente a.
sAMAccountName
Para Active Directory y.cn
Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzcacn
. -
UUID de grupo: Nombre del atributo que contiene el identificador único permanente de un grupo LDAP. Este atributo es equivalente a.
objectGUID
Para Active Directory y.entryUUID
Para OpenLDAP. Si va a configurar Oracle Directory Server, introduzcansuniqueid
. El valor de cada grupo para el atributo especificado debe ser un número hexadecimal de 32 dígitos en formato de 16 bytes o de cadena, donde se ignoran los guiones.
-
-
Para todos los tipos de servicio LDAP, introduzca la información de servidor LDAP y conexión de red necesaria en la sección Configure LDAP Server.
-
Hostname: El nombre de dominio completo (FQDN) o la dirección IP del servidor LDAP.
-
Puerto: El puerto utilizado para conectarse al servidor LDAP.
El puerto predeterminado para STARTTLS es 389 y el puerto predeterminado para LDAPS es 636. Sin embargo, puede utilizar cualquier puerto siempre que su firewall esté configurado correctamente. -
Nombre de usuario: La ruta completa del nombre completo (DN) para el usuario que se conectará al servidor LDAP.
Para Active Directory, también puede especificar el nombre de inicio de sesión de nivel inferior o el nombre principal del usuario.
El usuario especificado debe tener permiso para enumerar grupos y usuarios y para tener acceso a los siguientes atributos:
-
sAMAccountName
o.uid
-
objectGUID
,entryUUID
, o.nsuniqueid
-
cn
-
memberOf
o.isMemberOf
-
Active Directory:
objectSid
,primaryGroupID
,userAccountControl
, y.userPrincipalName
-
Azure:
accountEnabled
y..userPrincipalName
-
-
Contraseña: La contraseña asociada al nombre de usuario.
-
DN base de grupo: La ruta completa del nombre distinguido (DN) para un subárbol LDAP que desea buscar grupos. En el ejemplo de Active Directory (a continuación), se pueden usar como grupos federados todos los grupos cuyo nombre distintivo sea relativo al DN base (DC=storagegrid,DC=example,DC=com).
Los valores de Nombre único de grupo deben ser únicos dentro del DN base de grupo al que pertenecen. -
DN base de usuario: La ruta completa del nombre completo (DN) de un subárbol LDAP que desea buscar usuarios.
Los valores de Nombre único de usuario deben ser únicos dentro del DN base de usuario al que pertenecen. -
Formato de nombre de usuario de enlace (opcional): El patrón de nombre de usuario predeterminado StorageGRID debe usarse si el patrón no se puede determinar automáticamente.
Se recomienda proporcionar Formato de nombre de usuario Bind porque puede permitir que los usuarios inicien sesión si StorageGRID no puede enlazar con la cuenta de servicio.
Introduzca uno de estos patrones:
-
Patrón UserPrincipalName (Active Directory y Azure):
[USERNAME]@example.com
-
Patrón de nombre de inicio de sesión de nivel inferior (Active Directory y Azure):
example\[USERNAME]
-
Patrón de nombre completo:
CN=[USERNAME],CN=Users,DC=example,DC=com
Incluya [USERNAME] exactamente como está escrito.
-
-
-
En la sección Seguridad de la capa de transporte (TLS), seleccione una configuración de seguridad.
-
Use STARTTLS: Utilice STARTTLS para asegurar las comunicaciones con el servidor LDAP. Esta es la opción recomendada para Active Directory, OpenLDAP u otros, pero esta opción no es compatible con Azure.
-
Use LDAPS: La opción LDAPS (LDAP sobre SSL) utiliza TLS para establecer una conexión con el servidor LDAP. Debe seleccionar esta opción para Azure.
-
No utilice TLS: El tráfico de red entre el sistema StorageGRID y el servidor LDAP no estará protegido. Esta opción no es compatible con Azure.
El uso de la opción no usar TLS no es compatible si el servidor de Active Directory aplica la firma LDAP. Debe usar STARTTLS o LDAPS.
-
-
Si seleccionó STARTTLS o LDAPS, elija el certificado utilizado para proteger la conexión.
-
Utilizar certificado CA del sistema operativo: Utilice el certificado predeterminado de CA de red instalado en el sistema operativo para asegurar las conexiones.
-
Utilizar certificado de CA personalizado: Utilice un certificado de seguridad personalizado.
Si selecciona esta opción, copie y pegue el certificado de seguridad personalizado en el cuadro de texto del certificado de CA.
-
Pruebe la conexión y guarde la configuración
Después de introducir todos los valores, es necesario probar la conexión para poder guardar la configuración. StorageGRID verifica la configuración de conexión del servidor LDAP y el formato de nombre de usuario de enlace, si proporcionó uno.
-
Seleccione probar conexión.
-
Si no se proporciona un formato de nombre de usuario de enlace:
-
Aparecerá el mensaje «"probar conexión correcta"» si los ajustes de conexión son válidos. Seleccione Guardar para guardar la configuración.
-
Aparece el mensaje «"no se ha podido establecer la conexión de prueba"» si los ajustes de conexión no son válidos. Seleccione Cerrar. Luego, resuelva cualquier problema y vuelva a probar la conexión.
-
-
Si proporcionó un formato de nombre de usuario de enlace, introduzca el nombre de usuario y la contraseña de un usuario federado válido.
Por ejemplo, introduzca su propio nombre de usuario y contraseña. No incluya ningún carácter especial en el nombre de usuario, como @ o /.
-
Aparecerá el mensaje «"probar conexión correcta"» si los ajustes de conexión son válidos. Seleccione Guardar para guardar la configuración.
-
Aparecerá un mensaje de error si las opciones de conexión, el formato de nombre de usuario de enlace o el nombre de usuario y la contraseña de prueba no son válidos. Resuelva los problemas y vuelva a probar la conexión.
-
Forzar la sincronización con el origen de identidades
El sistema StorageGRID sincroniza periódicamente grupos federados y usuarios del origen de identidades. Puede forzar el inicio de la sincronización si desea habilitar o restringir los permisos de usuario lo antes posible.
-
Vaya a la página federación de identidades.
-
Seleccione servidor de sincronización en la parte superior de la página.
El proceso de sincronización puede tardar bastante tiempo en función del entorno.
La alerta fallo de sincronización de la federación de identidades se activa si hay un problema al sincronizar grupos federados y usuarios del origen de identidades.
Deshabilitar la federación de identidades
Puede deshabilitar temporalmente o de forma permanente la federación de identidades para grupos y usuarios. Cuando la federación de identidades está deshabilitada, no existe comunicación entre StorageGRID y el origen de identidades. Sin embargo, cualquier configuración que haya configurado se conservará, lo que le permitirá volver a habilitar fácilmente la federación de identidades en el futuro.
Antes de deshabilitar la federación de identidades, debe tener en cuenta lo siguiente:
-
Los usuarios federados no podrán iniciar sesión.
-
Los usuarios federados que hayan iniciado sesión en ese momento, retendrán el acceso al sistema StorageGRID hasta que caduque la sesión, pero no podrán iniciar sesión después de que caduque la sesión.
-
No se realizará la sincronización entre el sistema StorageGRID y el origen de identidad, y no se realizarán alertas ni alarmas para las cuentas que no se hayan sincronizado.
-
La casilla de verificación Habilitar federación de identidad está desactivada si el inicio de sesión único (SSO) está configurado en enabled o Sandbox Mode. El estado de SSO de la página Single Sign-On debe ser Desactivado antes de poder deshabilitar la federación de identidades. Consulte "Desactive el inicio de sesión único".
-
Vaya a la página federación de identidades.
-
Desmarque la casilla de verificación Habilitar federación de identidad.
Instrucciones para configurar el servidor OpenLDAP
Si desea utilizar un servidor OpenLDAP para la federación de identidades, debe configurar ajustes específicos en el servidor OpenLDAP.
En el caso de fuentes de identidad que no sean ActiveDirectory ni Azure, StorageGRID no bloqueará automáticamente el acceso S3 a los usuarios que estén deshabilitados externamente. Para bloquear el acceso a S3, elimine cualquier clave S3 para el usuario o elimine al usuario de todos los grupos. |
Revestimientos memberOf y reft
Se deben habilitar las superposiciones memberof y reft. Para obtener más información, consulte las instrucciones para el mantenimiento de miembros del grupo inverso enhttp://www.openldap.org/doc/admin24/index.html["Documentación de OpenLDAP: Guía del administrador de la versión 2.4"^].
Indización
Debe configurar los siguientes atributos OpenLDAP con las palabras clave de índice especificadas:
-
olcDbIndex: objectClass eq
-
olcDbIndex: uid eq,pres,sub
-
olcDbIndex: cn eq,pres,sub
-
olcDbIndex: entryUUID eq
Además, asegúrese de que los campos mencionados en la ayuda para Nombre de usuario estén indexados para un rendimiento óptimo.
Consulte la información sobre el mantenimiento de pertenencia a grupos inversa en lahttp://www.openldap.org/doc/admin24/index.html["Documentación de OpenLDAP: Guía del administrador de la versión 2.4"^].