Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar SSO

Colaboradores netapp-lhalbert
PDF

Puede seguir el asistente de configuración de SSO e ingresar al modo sandbox para configurar y probar el inicio de sesión único (SSO) antes de habilitarlo para todos los usuarios de StorageGRID . Una vez habilitado el SSO, puede regresar al modo sandbox cuando sea necesario para cambiar o volver a probar la configuración.

Antes de empezar

  • Ha iniciado sesión en Grid Manager mediante una "navegador web compatible".

  • Usted tiene el "Permiso de acceso raíz".

  • Configuró la federación de identidades para el sistema StorageGRID.

  • Para la federación de identidad tipo de servicio LDAP, seleccionó Active Directory o Entra ID, según el proveedor de identidad SSO que planea utilizar.

    Se ha configurado el tipo de servicio LDAP Opciones para el proveedor de identidades SSO

    Servicio de Federación de Active Directory (AD FS)

    • Active Directory

    • Identificación de entrada

    • PingFederate

    Identificación de entrada

    Identificación de entrada
Acerca de esta tarea

Cuando se habilita el inicio de sesión único y un usuario intenta iniciar sesión en un nodo de administración, StorageGRID envía una solicitud de autenticación al proveedor de identidades de SSO. A su vez, el proveedor de identidades SSO envía una respuesta de autenticación a StorageGRID para indicar si la solicitud de autenticación se ha realizado correctamente. Para solicitudes correctas:

  • La respuesta de Active Directory o PingFederate incluye un identificador único universal (UUID) para el usuario.

  • La respuesta de Entra ID incluye un nombre principal de usuario (UPN).

Para permitir que StorageGRID (el proveedor de servicios) y el proveedor de identidad SSO se comuniquen de forma segura acerca de las solicitudes de autenticación de usuarios, deberá completar estas tareas:

  1. Configurar ajustes en StorageGRID.

  2. Utilice el software del proveedor de identidad SSO para crear una relación de confianza entre usuarios (AD FS), una aplicación empresarial (Entra ID) o un proveedor de servicios (PingFederate) para cada nodo de administración.

  3. Regrese a StorageGRID para habilitar SSO.

El modo Sandbox facilita la realización de esta configuración de ida y vuelta y permite probar todas las configuraciones antes de habilitar SSO. Cuando se utiliza el modo sandbox, los usuarios no pueden iniciar sesión mediante SSO.

Acceda al asistente

Pasos

  1. Seleccione Configuración > Control de acceso > Inicio de sesión único. Aparece la página de inicio de sesión único.

    Nota Si el botón Configurar ajustes de SSO está deshabilitado, confirme que haya configurado el proveedor de identidad como fuente de identidad federada. Consulte "Requisitos y consideraciones para el inicio de sesión único" .

  2. Seleccione Configurar ajustes de SSO. Aparece la página Proporcionar detalles del proveedor de identidad.

Proporcionar detalles del proveedor de identidad

Pasos

  1. Seleccione Tipo SSO en la lista desplegable.

  2. Si seleccionó Active Directory como tipo de SSO, ingrese el Nombre del servicio de federación para el proveedor de identidad, exactamente como aparece en el Servicio de federación de Active Directory (AD FS).

    Nota Para buscar el nombre del servicio de federación, vaya al Administrador de Windows Server. Seleccione Herramientas > Administración AD FS. En el menú Acción, seleccione Editar propiedades del servicio de Federación. El nombre del servicio de Federación se muestra en el segundo campo.

  3. Especifique qué certificado TLS se utilizará para proteger la conexión cuando el proveedor de identidades envíe información de configuración de SSO en respuesta a las solicitudes de StorageGRID.

    • Utilizar certificado CA del sistema operativo: Utilice el certificado CA predeterminado instalado en el sistema operativo para asegurar la conexión.

    • Utilizar certificado de CA personalizado: Utilice un certificado de CA personalizado para proteger la conexión.

      Si selecciona esta configuración, copie el texto del certificado personalizado y péguelo en el cuadro de texto Certificado CA.

    • No utilice TLS: No utilice un certificado TLS para garantizar la conexión.

      Precaución Si cambia el certificado de CA, inmediatamente "Reinicie el servicio mgmt-api en los nodos de administración" y prueba un SSO correcto en Grid Manager.

  4. Seleccione Continuar. Aparece la página Proporcionar identificador de parte confiable.

Proporcionar identificador de parte confiable

  1. Complete los campos en la página Proporcionar identificador de parte confiable según el tipo de SSO que haya seleccionado.

    Active Directory

    1. Especifique el Identificador de la parte confiada para StorageGRID. Este valor controla el nombre que utiliza para cada relación de confianza de usuario confiable en AD FS.

      • Por ejemplo, si el grid solo tiene un nodo de administración y no prevé agregar más nodos de administración en el futuro, introduzca SG o StorageGRID.

      • Si su cuadrícula incluye más de un nodo de administración, incluya la cadena [HOSTNAME] en el identificador. Por ejemplo, SG-[HOSTNAME] . Al incluir esta cadena, se genera una tabla que muestra el identificador de la parte confiable para cada nodo de administración en la cuadrícula, según el nombre de host del nodo.

        Nota Debe crear una confianza de parte de confianza para cada nodo de administrador en el sistema StorageGRID. Tener una confianza de parte que confía en cada nodo de administración garantiza que los usuarios puedan iniciar sesión de forma segura desde y hacia cualquier nodo de administración.

    2. Seleccione Guardar e ingresar al modo sandbox.

    Identificación de entrada

    1. En la sección Aplicación empresarial, especifique el nombre de la aplicación empresarial para StorageGRID. Este valor controla el nombre que utiliza para cada aplicación empresarial en Entra ID.

      • Por ejemplo, si el grid solo tiene un nodo de administración y no prevé agregar más nodos de administración en el futuro, introduzca SG o StorageGRID.

      • Si su cuadrícula incluye más de un nodo de administración, incluya la cadena [HOSTNAME] en el identificador. Por ejemplo, SG-[HOSTNAME] . Al incluir esta cadena, se genera una tabla que muestra un nombre de aplicación empresarial para cada nodo de administración en su sistema, según el nombre de host del nodo.

        Nota Debe crear una aplicación empresarial para cada nodo administrador en el sistema StorageGRID. Disponer de una aplicación empresarial para cada nodo de administración garantiza que los usuarios puedan iniciar sesión de forma segura en cualquier nodo de administración.

    2. Siga los pasos en"Crear aplicaciones empresariales en Entra ID" para crear una aplicación empresarial para cada nodo de administración enumerado en la tabla.

    3. Desde Entra ID, copie la URL de metadatos de federación para cada aplicación empresarial. Luego, pegue esta URL en el campo URL de metadatos de federación correspondiente en StorageGRID.

    4. Después de haber copiado y pegado una URL de metadatos de federación para todos los nodos de administración, seleccione Guardar e ingresar al modo sandbox.

    PingFederate

    1. En la sección Proveedor de servicios (SP), especifique ID de conexión SP para StorageGRID. Este valor controla el nombre que utiliza para cada conexión SP en PingFederate.

      • Por ejemplo, si el grid solo tiene un nodo de administración y no prevé agregar más nodos de administración en el futuro, introduzca SG o StorageGRID.

      • Si su cuadrícula incluye más de un nodo de administración, incluya la cadena [HOSTNAME] en el identificador. Por ejemplo, SG-[HOSTNAME] . Al incluir esta cadena, se genera una tabla que muestra el ID de conexión de SP para cada nodo de administración en su sistema, según el nombre de host del nodo.

        Nota Debe crear una conexión de SP para cada nodo de administrador en el sistema StorageGRID. Tener una conexión de SP para cada nodo de administrador garantiza que los usuarios puedan iniciar sesión de forma segura en cualquier nodo de administrador.

    2. Especifique la dirección URL de metadatos de federación para cada nodo de administración en el campo URL de metadatos de Federación.

      Utilice el siguiente formato:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    3. Seleccione Guardar e ingresar al modo sandbox.

Configurar las confianzas de partes de confianza, las aplicaciones de la empresa o las conexiones de SP

Después de guardar la configuración e ingresar al modo sandbox, puede completar y probar la configuración para el tipo de SSO que seleccionó.

StorageGRID puede permanecer en modo sandbox tanto tiempo como sea necesario. Sin embargo, sólo los usuarios federados y los usuarios locales pueden iniciar sesión.

Active Directory
Pasos

  1. Vaya a Servicios de Federación de Active Directory (AD FS).

  2. Cree una o más relaciones de confianza de usuario confiable para StorageGRID, utilizando cada identificador de usuario confiable que se muestra en la tabla de la página Configurar SSO.

    Debe crear una confianza para cada nodo de administrador que se muestra en la tabla.

    Para obtener instrucciones, vaya a "Crear confianzas de parte de confianza en AD FS".

Identificación de entrada
Pasos

  1. En la página Single Sign-On del nodo de administrador al que ha iniciado sesión actualmente, seleccione el botón para descargar y guardar los metadatos SAML.

  2. A continuación, para cualquier otro nodo de administrador en el grid, repita estos pasos:

    1. Inicie sesión en el nodo.

    2. Seleccione Configuración > Control de acceso > Inicio de sesión único.

    3. Descargue y guarde los metadatos de SAML de ese nodo.

  3. Vaya al portal de Azure.

  4. Siga los pasos en"Crear aplicaciones empresariales en Entra ID" para cargar el archivo de metadatos SAML para cada nodo de administración en su aplicación empresarial Entra ID correspondiente.

PingFederate
Pasos

  1. En la página Single Sign-On del nodo de administrador al que ha iniciado sesión actualmente, seleccione el botón para descargar y guardar los metadatos SAML.

  2. A continuación, para cualquier otro nodo de administrador en el grid, repita estos pasos:

    1. Inicie sesión en el nodo.

    2. Seleccione Configuración > Control de acceso > Inicio de sesión único.

    3. Descargue y guarde los metadatos de SAML de ese nodo.

  3. Vaya a PingFederate.

  4. "Cree una o varias conexiones de proveedor de servicios (SP) para StorageGRID" . Utilice el ID de conexión de SP para cada nodo de administración (que se muestra en la tabla de la página Configurar SSO) y los metadatos SAML que descargó para ese nodo de administración.

    Debe crear una conexión de SP para cada nodo de administrador que se muestra en la tabla.

Configuración de prueba

Antes de implementar el uso del inicio de sesión único para todo el sistema StorageGRID , confirme que el inicio de sesión único y el cierre de sesión único estén configurados correctamente para cada nodo de administración.

Active Directory
Pasos

  1. Desde la página Configurar SSO, busque el enlace en el paso de configuración de prueba del asistente.

    La dirección URL se deriva del valor introducido en el campo Nombre de servicio de Federación.

  2. Seleccione el enlace, o copie y pegue la URL en un navegador para acceder a la página de inicio de sesión del proveedor de identidades.

  3. Para confirmar que puede utilizar SSO para iniciar sesión en StorageGRID, seleccione Iniciar sesión en uno de los siguientes sitios, seleccione el identificador de la parte que confía para su nodo de administración principal y seleccione Iniciar sesión.

  4. Introduzca el nombre de usuario y la contraseña federados.

    • Si las operaciones de inicio de sesión y cierre de sesión SSO se realizan correctamente, se muestra un mensaje de éxito.

    • Si la operación de SSO se realiza sin errores, se muestra un mensaje de error. Solucione el problema, borre las cookies del navegador e inténtelo de nuevo.

  5. Repita estos pasos para verificar la conexión SSO para cada nodo de administrador en el grid.

Identificación de entrada
Pasos

  1. Vaya a la página Single Sign-On del portal de Azure.

  2. Seleccione probar esta aplicación.

  3. Introduzca las credenciales de un usuario federado.

    • Si las operaciones de inicio de sesión y cierre de sesión SSO se realizan correctamente, se muestra un mensaje de éxito.

    • Si la operación de SSO se realiza sin errores, se muestra un mensaje de error. Solucione el problema, borre las cookies del navegador e inténtelo de nuevo.

  4. Repita estos pasos para verificar la conexión SSO para cada nodo de administrador en el grid.

PingFederate
Pasos

  1. Desde la página Configurar SSO, seleccione el primer enlace en el mensaje del modo Sandbox.

    Seleccione y pruebe un enlace cada vez.

  2. Introduzca las credenciales de un usuario federado.

    • Si las operaciones de inicio de sesión y cierre de sesión SSO se realizan correctamente, se muestra un mensaje de éxito.

    • Si la operación de SSO se realiza sin errores, se muestra un mensaje de error. Solucione el problema, borre las cookies del navegador e inténtelo de nuevo.

  3. Seleccione el siguiente enlace para verificar la conexión de SSO para cada nodo de administrador de la cuadrícula.

    Si ve un mensaje Página caducada, seleccione el botón Atrás de su explorador y vuelva a enviar sus credenciales.

Active el inicio de sesión único

Una vez que haya confirmado que puede usar SSO para iniciar sesión en cada nodo de administración, puede habilitar SSO en todo el sistema StorageGRID.

Consejo Cuando SSO está habilitado, todos los usuarios deben utilizar SSO para acceder a Grid Manager, al arrendatario Manager, a la API de gestión de grid y a la API de gestión de inquilinos. Los usuarios locales ya no pueden acceder a StorageGRID.
Pasos

  1. Desde el paso de configuración de prueba del asistente de configuración de SSO, seleccione Habilitar SSO.

  2. Revise el mensaje de advertencia y seleccione Habilitar SSO.

    El inicio de sesión único ahora está habilitado. Aparece la página de inicio de sesión único y ahora incluye los detalles del SSO que acaba de configurar.

  3. Para editar la configuración, seleccione Editar.

  4. Para deshabilitar el inicio de sesión único, seleccione Deshabilitar SSO.

Consejo Si usa Azure Portal y accede a StorageGRID desde la misma computadora que usa para acceder a Entra ID, asegúrese de que el usuario del portal de Azure también sea un usuario autorizado de StorageGRID (un usuario en un grupo federado que se haya importado a StorageGRID o cierre la sesión del portal de Azure antes de intentar iniciar sesión en StorageGRID).