Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Crear relaciones de confianza entre usuarios autenticados en AD FS

PDF

Debe utilizar los Servicios de federación de Active Directory (AD FS) para crear una relación de confianza de usuario autenticado para cada nodo de administración en su sistema. Puede crear relaciones de confianza de usuario autenticado mediante comandos de PowerShell, importando metadatos SAML desde StorageGRID o ingresando los datos manualmente.

Antes de empezar

  • Ha configurado el inicio de sesión único para StorageGRID y seleccionó AD FS como tipo de SSO.

  • El modo Sandbox está seleccionado en la página de inicio de sesión único en Grid Manager. Ver "Utilizar el modo sandbox" .

  • Conoce el nombre de dominio completo (o la dirección IP) y el identificador de la parte confiable para cada nodo de administración en su sistema. Puede encontrar estos valores en la tabla de detalles de Nodos de administración en la página de inicio de sesión único de StorageGRID .

    Nota Debe crear una relación de confianza de usuario autenticado para cada nodo de administración en su sistema StorageGRID . Tener una relación de confianza de parte confiable para cada nodo de administración garantiza que los usuarios puedan iniciar y cerrar sesión de forma segura en cualquier nodo de administración.

  • Tiene experiencia en la creación de relaciones de confianza de usuario autenticado en AD FS o tiene acceso a la documentación de Microsoft AD FS.

  • Está utilizando el complemento Administración de AD FS y pertenece al grupo Administradores.

  • Si está creando la confianza de usuario confiable manualmente, tiene el certificado personalizado que se cargó para la interfaz de administración de StorageGRID o sabe cómo iniciar sesión en un nodo de administración desde el shell de comandos.

Acerca de esta tarea

Estas instrucciones se aplican a Windows Server 2016 AD FS. Si está utilizando una versión diferente de AD FS, notará ligeras diferencias en el procedimiento. Si tiene preguntas, consulte la documentación de Microsoft AD FS.

Crear una relación de confianza de usuario autenticado mediante Windows PowerShell

Puede utilizar Windows PowerShell para crear rápidamente una o más relaciones de confianza de usuario autenticado.

Pasos

  1. Desde el menú de inicio de Windows, seleccione con el botón derecho el ícono de PowerShell y seleccione Ejecutar como administrador.

  2. En el símbolo del sistema de PowerShell, ingrese el siguiente comando:

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Para Admin_Node_Identifier , ingrese el Identificador de parte confiable para el Nodo de administración, exactamente como aparece en la página de Inicio de sesión único. Por ejemplo, SG-DC1-ADM1 .

    • Para Admin_Node_FQDN , ingrese el nombre de dominio completo para el mismo nodo de administración. (Si es necesario, puede utilizar la dirección IP del nodo en su lugar. Sin embargo, si ingresa una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear esta confianza de parte confiable si esa dirección IP alguna vez cambia).

  3. Desde el Administrador de servidor de Windows, seleccione Herramientas > Administración de AD FS.

    Aparece la herramienta de administración de AD FS.

  4. Seleccione AD FS > Confianzas de usuario autenticado.

    Aparece la lista de fideicomisos de partes confiantes.

  5. Agregue una Política de control de acceso a la confianza de usuario autenticado recién creada:

    1. Localice el fideicomiso de parte confiante que acaba de crear.

    2. Haga clic derecho en la confianza y seleccione Editar política de control de acceso.

    3. Seleccione una política de control de acceso.

    4. Seleccione Aplicar y seleccione Aceptar

  6. Agregue una Política de emisión de reclamaciones al fideicomiso de parte confiada recién creado:

    1. Localice el fideicomiso de parte confiante que acaba de crear.

    2. Haga clic derecho en el fideicomiso y seleccione Editar política de emisión de reclamaciones.

    3. Seleccione Agregar regla.

    4. En la página Seleccionar plantilla de regla, seleccione Enviar atributos LDAP como reclamaciones de la lista y seleccione Siguiente.

    5. En la página Configurar regla, ingrese un nombre para mostrar para esta regla.

      Por ejemplo, ObjectGUID a ID de nombre o UPN a ID de nombre.

    6. Para el almacén de atributos, seleccione Active Directory.

    7. En la columna Atributo LDAP de la tabla Mapeo, escriba objectGUID o seleccione User-Principal-Name.

    8. En la columna Tipo de reclamo saliente de la tabla de mapeo, seleccione ID de nombre de la lista desplegable.

    9. Seleccione Finalizar y seleccione Aceptar.

  7. Confirme que los metadatos se importaron correctamente.

    1. Haga clic con el botón derecho en la confianza del usuario confiado para abrir sus propiedades.

    2. Confirme que los campos en las pestañas Puntos finales, Identificadores y Firma estén completos.

      Si faltan los metadatos, confirme que la dirección de metadatos de la Federación sea correcta o ingrese los valores manualmente.

  8. Repita estos pasos para configurar una relación de confianza de usuario confiable para todos los nodos de administración en su sistema StorageGRID .

  9. Cuando haya terminado, regrese a StorageGRID y pruebe todas las relaciones de confianza de usuarios autenticados para confirmar que estén configuradas correctamente. Ver"Utilizar el modo Sandbox" para obtener instrucciones.

Cree una relación de confianza entre usuarios autenticados mediante la importación de metadatos de la federación

Puede importar los valores para cada entidad de confianza accediendo a los metadatos SAML de cada nodo de administración.

Pasos

  1. En el Administrador de servidor de Windows, seleccione Herramientas y, a continuación, seleccione Administración de AD FS.

  2. En Acciones, seleccione Agregar confianza de usuario autenticado.

  3. En la página de bienvenida, seleccione Reclamos conscientes y seleccione Iniciar.

  4. Seleccione Importar datos sobre la parte confiante publicados en línea o en una red local.

  5. En Dirección de metadatos de la federación (nombre de host o URL), escriba la ubicación de los metadatos SAML para este nodo de administración:

    https://Admin_Node_FQDN/api/saml-metadata

    Para Admin_Node_FQDN , ingrese el nombre de dominio completo para el mismo nodo de administración. (Si es necesario, puede utilizar la dirección IP del nodo en su lugar. Sin embargo, si ingresa una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear esta confianza de parte confiable si esa dirección IP alguna vez cambia).

  6. Complete el asistente de confianza de usuario autenticado, guarde la confianza de usuario autenticado y cierre el asistente.

    Nota Al ingresar el nombre para mostrar, utilice el Identificador de usuario confiado para el Nodo de administración, exactamente como aparece en la página de Inicio de sesión único en el Administrador de Grid. Por ejemplo, SG-DC1-ADM1 .

  7. Agregar una regla de reclamación:

    1. Haga clic derecho en el fideicomiso y seleccione Editar política de emisión de reclamaciones.

    2. Seleccione Agregar regla:

    3. En la página Seleccionar plantilla de regla, seleccione Enviar atributos LDAP como reclamaciones de la lista y seleccione Siguiente.

    4. En la página Configurar regla, ingrese un nombre para mostrar para esta regla.

      Por ejemplo, ObjectGUID a ID de nombre o UPN a ID de nombre.

    5. Para el almacén de atributos, seleccione Active Directory.

    6. En la columna Atributo LDAP de la tabla Mapeo, escriba objectGUID o seleccione User-Principal-Name.

    7. En la columna Tipo de reclamo saliente de la tabla de mapeo, seleccione ID de nombre de la lista desplegable.

    8. Seleccione Finalizar y seleccione Aceptar.

  8. Confirme que los metadatos se importaron correctamente.

    1. Haga clic con el botón derecho en la confianza del usuario confiado para abrir sus propiedades.

    2. Confirme que los campos en las pestañas Puntos finales, Identificadores y Firma estén completos.

      Si faltan los metadatos, confirme que la dirección de metadatos de la Federación sea correcta o ingrese los valores manualmente.

  9. Repita estos pasos para configurar una relación de confianza de usuario confiable para todos los nodos de administración en su sistema StorageGRID .

  10. Cuando haya terminado, regrese a StorageGRID y pruebe todas las relaciones de confianza de usuarios autenticados para confirmar que estén configuradas correctamente. Ver"Utilizar el modo Sandbox" para obtener instrucciones.

Crear una relación de confianza de usuario confiado manualmente

Si decide no importar los datos de las confianzas de las partes confiables, puede ingresar los valores manualmente.

Pasos

  1. En el Administrador de servidor de Windows, seleccione Herramientas y, a continuación, seleccione Administración de AD FS.

  2. En Acciones, seleccione Agregar confianza de usuario autenticado.

  3. En la página de bienvenida, seleccione Reclamos conscientes y seleccione Iniciar.

  4. Seleccione Ingresar datos sobre la parte confiada manualmente y seleccione Siguiente.

  5. Complete el Asistente de confianza de usuario autenticado:

    1. Introduzca un nombre para mostrar para este nodo de administración.

      Para mantener la coherencia, utilice el Identificador de usuario autenticado para el Nodo de administración, exactamente como aparece en la página de Inicio de sesión único en el Administrador de Grid. Por ejemplo, SG-DC1-ADM1 .

    2. Omita el paso para configurar un certificado de cifrado de token opcional.

    3. En la página Configurar URL, seleccione la casilla de verificación Habilitar soporte para el protocolo SAML 2.0 WebSSO.

    4. Escriba la URL del punto final del servicio SAML para el nodo de administración:

      https://Admin_Node_FQDN/api/saml-response

      Para Admin_Node_FQDN , ingrese el nombre de dominio completo para el nodo de administración. (Si es necesario, puede utilizar la dirección IP del nodo en su lugar. Sin embargo, si ingresa una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear esta confianza de parte confiable si esa dirección IP alguna vez cambia).

    5. En la página Configurar identificadores, especifique el identificador de usuario de confianza para el mismo nodo de administración:

      Admin_Node_Identifier

      Para Admin_Node_Identifier , ingrese el Identificador de parte confiable para el Nodo de administración, exactamente como aparece en la página de Inicio de sesión único. Por ejemplo, SG-DC1-ADM1 .

    6. Revise la configuración, guarde la confianza del usuario autenticado y cierre el asistente.

      Aparece el cuadro de diálogo Editar política de emisión de reclamaciones.

    Nota Si el cuadro de diálogo no aparece, haga clic con el botón derecho en el fideicomiso y seleccione Editar política de emisión de reclamaciones.

  6. Para iniciar el asistente de reglas de reclamación, seleccione Agregar regla:

    1. En la página Seleccionar plantilla de regla, seleccione Enviar atributos LDAP como reclamaciones de la lista y seleccione Siguiente.

    2. En la página Configurar regla, ingrese un nombre para mostrar para esta regla.

      Por ejemplo, ObjectGUID a ID de nombre o UPN a ID de nombre.

    3. Para el almacén de atributos, seleccione Active Directory.

    4. En la columna Atributo LDAP de la tabla Mapeo, escriba objectGUID o seleccione User-Principal-Name.

    5. En la columna Tipo de reclamo saliente de la tabla de mapeo, seleccione ID de nombre de la lista desplegable.

    6. Seleccione Finalizar y seleccione Aceptar.

  7. Haga clic con el botón derecho en la confianza del usuario confiado para abrir sus propiedades.

  8. En la pestaña Puntos finales, configure el punto final para el cierre de sesión único (SLO):

    1. Seleccione Agregar SAML.

    2. Seleccione Tipo de punto final > Cerrar sesión SAML.

    3. Seleccione Enlace > Redireccionar.

    4. En el campo URL de confianza, ingrese la URL utilizada para el cierre de sesión único (SLO) desde este nodo de administración:

      https://Admin_Node_FQDN/api/saml-logout

    Para Admin_Node_FQDN , ingrese el nombre de dominio completo del nodo de administración. (Si es necesario, puede utilizar la dirección IP del nodo en su lugar. Sin embargo, si ingresa una dirección IP aquí, tenga en cuenta que debe actualizar o volver a crear esta confianza de parte confiable si esa dirección IP alguna vez cambia).

    1. Seleccione Aceptar.

  9. En la pestaña Firma, especifique el certificado de firma para esta relación de confianza de usuario autenticado:

    1. Agregue el certificado personalizado:

      • Si tiene el certificado de administración personalizado que cargó en StorageGRID, seleccione ese certificado.

      • Si no tiene el certificado personalizado, inicie sesión en el Nodo de administración, vaya a /var/local/mgmt-api directorio del nodo de administración y agregue el custom-server.crt archivo de certificado.

        Nota Uso del certificado predeterminado del nodo de administración(server.crt ) no se recomienda. Si el nodo de administración falla, se regenerará el certificado predeterminado cuando recupere el nodo y deberá actualizar la confianza de la parte confiable.

    2. Seleccione Aplicar y seleccione Aceptar.

      Las propiedades de la parte confiada se guardan y cierran.

  10. Repita estos pasos para configurar una relación de confianza de usuario confiable para todos los nodos de administración en su sistema StorageGRID .

  11. Cuando haya terminado, regrese a StorageGRID y pruebe todas las relaciones de confianza de usuarios autenticados para confirmar que estén configuradas correctamente. Ver"Utilizar el modo sandbox" para obtener instrucciones.