Requisitos y consideraciones para SSO
Sugerir cambios
PDF
Antes de activar el inicio de sesión único (SSO) para un sistema StorageGRID, revise los requisitos y consideraciones.
Requisitos del proveedor de identidades
StorageGRID admite los siguientes proveedores de identidad de SSO (IDP):
-
Servicio de Federación de Active Directory (AD FS)
-
Identificador de Microsoft Entra
-
PingFederate
Debe configurar la federación de identidades para el sistema StorageGRID antes de poder configurar un proveedor de identidades SSO. El tipo de servicio LDAP que utiliza para controlar la federación de identidades qué tipo de SSO puede implementar.
| Se ha configurado el tipo de servicio LDAP | Opciones para el proveedor de identidades SSO |
|---|---|
Active Directory |
|
Identificación de entrada |
Identificación de entrada |
Requisitos DE AD FS
Puede utilizar cualquiera de las siguientes versiones de AD FS:
-
Windows Server 2022 AD FS
-
Windows Server 2019 AD FS
-
Windows Server 2016 AD FS
|
Windows Server 2016 debe utilizar "Actualización KB3201845" , o superior. |
Requisitos adicionales
-
Seguridad de la capa de transporte (TLS) 1.2 ó 1.3
-
Microsoft .NET Framework, versión 3.5.1 o posterior
Consideraciones para Entra ID
Si utiliza Entra ID como tipo de SSO y los usuarios tienen nombres principales de usuario que no utilizan sAMAccountName como prefijo, pueden surgir problemas de inicio de sesión si StorageGRID pierde su conexión con el servidor LDAP. Para permitir que los usuarios inicien sesión, debe restaurar la conexión al servidor LDAP.
Requisitos de certificado de servidor
De forma predeterminada, StorageGRID utiliza un certificado de interfaz de administración en cada nodo de administración para proteger el acceso al Administrador de Grid, al Administrador de inquilinos, a la API de administración de Grid y a la API de administración de inquilinos. Cuando configura relaciones de confianza de usuario confiable (AD FS), aplicaciones empresariales (Entra ID) o conexiones de proveedor de servicios (PingFederate) para StorageGRID, utiliza el certificado del servidor como certificado de firma para las solicitudes de StorageGRID .
Si aún no lo ha hecho"se configuró un certificado personalizado para la interfaz de gestión", debería hacerlo ahora. Cuando instala un certificado de servidor personalizado, se utiliza para todos los nodos de administrador y puede usarlo en todas las confianzas de parte que dependen de StorageGRID, aplicaciones de empresa o conexiones del SP.
|
|
No se recomienda utilizar el certificado de servidor predeterminado de un nodo de administración en la confianza de una parte que confía, la aplicación de empresa o la conexión de SP. Si el nodo falla y lo recupera, se genera un nuevo certificado de servidor predeterminado. Antes de iniciar sesión en el nodo recuperado, debe actualizar la confianza de la parte que confía, la aplicación de empresa o la conexión del SP con el nuevo certificado. |
Para acceder al certificado de servidor de un nodo de administración, inicie sesión en el shell de comandos del nodo y vaya al /var/local/mgmt-api directorio. Se denomina a un certificado de servidor personalizado custom-server.crt . El certificado de servidor predeterminado del nodo se denomina server.crt.
Requisitos de puertos
El inicio de sesión único (SSO) no está disponible en los puertos de administrador de grid restringido o de administrador de inquilinos. Debe utilizar el puerto HTTPS predeterminado (443) si desea que los usuarios se autentiquen con inicio de sesión único. Consulte "Controle el acceso a un firewall externo".