Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Usar la federación de identidades

Colaboradores

El uso de la federación de identidades agiliza la configuración de usuarios y grupos de inquilinos, y permite a los usuarios de inquilinos iniciar sesión en la cuenta de inquilinos utilizando credenciales conocidas.

Configurar la federación de identidades para el Administrador de inquilinos

Puede configurar la federación de identidades para el administrador de inquilinos si desea que los grupos de inquilinos y los usuarios se gestionen en otro sistema como Active Directory, Azure Active Directory (Azure AD), OpenLDAP u Oracle Directory Server.

Antes de empezar
Acerca de esta tarea

Si puede configurar un servicio de federación de identidades para su inquilino depende de cómo se haya configurado su cuenta de inquilino. Es posible que el inquilino comparta el servicio de federación de identidades configurado para Grid Manager. Si ve este mensaje cuando accede a la página Identity Federation, no puede configurar un origen de identidad federado independiente para este arrendatario.

El inquilino comparte la Federación de identidades

Introducir configuración

Al configurar Identify federation, proporciona los valores que StorageGRID necesita para conectarse a un servicio LDAP.

Pasos
  1. Seleccione ADMINISTRACIÓN de ACCESO > federación de identidades.

  2. Seleccione Activar federación de identidades.

  3. En la sección Tipo de servicio LDAP, seleccione el tipo de servicio LDAP que desea configurar.

    Página Federación de identidades que muestra las opciones de tipo de servicio LDAP

    Seleccione otros para configurar valores para un servidor LDAP que utilice Oracle Directory Server.

  4. Si ha seleccionado otros, complete los campos de la sección atributos LDAP . De lo contrario, vaya al paso siguiente.

    • Nombre único de usuario: Nombre del atributo que contiene el identificador único de un usuario LDAP. Este atributo es equivalente a sAMAccountName para Active Directory y uid para OpenLDAP. Si está configurando Oracle Directory Server, introduzca uid.

    • UUID de usuario: Nombre del atributo que contiene el identificador único permanente de un usuario LDAP. Este atributo es equivalente a objectGUID para Active Directory y entryUUID para OpenLDAP. Si está configurando Oracle Directory Server, introduzca nsuniqueid. El valor de cada usuario para el atributo especificado debe ser un número hexadecimal de 32 dígitos en formato de 16 bytes o de cadena, donde se ignoran los guiones.

    • Nombre único del grupo: Nombre del atributo que contiene el identificador único de un grupo LDAP. Este atributo es equivalente a sAMAccountName para Active Directory y cn para OpenLDAP. Si está configurando Oracle Directory Server, introduzca cn.

    • UUID de grupo: Nombre del atributo que contiene el identificador único permanente de un grupo LDAP. Este atributo es equivalente a objectGUID para Active Directory y entryUUID para OpenLDAP. Si está configurando Oracle Directory Server, introduzca nsuniqueid. El valor de cada grupo para el atributo especificado debe ser un número hexadecimal de 32 dígitos en formato de 16 bytes o de cadena, donde se ignoran los guiones.

  5. Para todos los tipos de servicio LDAP, introduzca la información de servidor LDAP y conexión de red necesaria en la sección Configure LDAP Server.

    • Hostname: El nombre de dominio completo (FQDN) o la dirección IP del servidor LDAP.

    • Puerto: El puerto utilizado para conectarse al servidor LDAP.

      Nota El puerto predeterminado para STARTTLS es 389 y el puerto predeterminado para LDAPS es 636. Sin embargo, puede utilizar cualquier puerto siempre que su firewall esté configurado correctamente.
    • Nombre de usuario: La ruta completa del nombre completo (DN) para el usuario que se conectará al servidor LDAP.

      Para Active Directory, también puede especificar el nombre de inicio de sesión de nivel inferior o el nombre principal del usuario.

      El usuario especificado debe tener permiso para enumerar grupos y usuarios y para tener acceso a los siguientes atributos:

      • sAMAccountName o. uid

      • objectGUID, , entryUUID o. nsuniqueid

      • cn

      • memberOf o. isMemberOf

      • Active Directory objectSid: , , primaryGroupID, userAccountControl Y. userPrincipalName

      • * Azure *: accountEnabled Y. userPrincipalName

    • Contraseña: La contraseña asociada al nombre de usuario.

      Nota Si cambia la contraseña en el futuro, debe actualizarla en esta página.
    • DN base de grupo: La ruta completa del nombre distinguido (DN) para un subárbol LDAP que desea buscar grupos. En el ejemplo de Active Directory (a continuación), se pueden usar como grupos federados todos los grupos cuyo nombre distintivo sea relativo al DN base (DC=storagegrid,DC=example,DC=com).

      Nota Los valores de Nombre único de grupo deben ser únicos dentro del DN base de grupo al que pertenecen.
    • DN base de usuario: La ruta completa del nombre completo (DN) de un subárbol LDAP que desea buscar usuarios.

      Nota Los valores de Nombre único de usuario deben ser únicos dentro del DN base de usuario al que pertenecen.
    • Formato de nombre de usuario de enlace (opcional): El patrón de nombre de usuario predeterminado StorageGRID debe usarse si el patrón no se puede determinar automáticamente.

      Se recomienda proporcionar Formato de nombre de usuario Bind porque puede permitir que los usuarios inicien sesión si StorageGRID no puede enlazar con la cuenta de servicio.

      Introduzca uno de estos patrones:

      • UserPrincipalName patrón (Active Directory y Azure): [USERNAME]@example.com

      • * Patrón de nombre de inicio de sesión de nivel inferior (Active Directory y Azure)*: example\[USERNAME]

      • * Patrón de nombre distinguido *: CN=[USERNAME],CN=Users,DC=example,DC=com

        Incluya [USERNAME] exactamente como está escrito.

  6. En la sección Seguridad de la capa de transporte (TLS), seleccione una configuración de seguridad.

    • Use STARTTLS: Utilice STARTTLS para asegurar las comunicaciones con el servidor LDAP. Esta es la opción recomendada para Active Directory, OpenLDAP u otros, pero esta opción no es compatible con Azure.

    • Use LDAPS: La opción LDAPS (LDAP sobre SSL) utiliza TLS para establecer una conexión con el servidor LDAP. Debe seleccionar esta opción para Azure.

    • No utilice TLS: El tráfico de red entre el sistema StorageGRID y el servidor LDAP no estará protegido. Esta opción no es compatible con Azure.

      Nota El uso de la opción no usar TLS no es compatible si el servidor de Active Directory aplica la firma LDAP. Debe usar STARTTLS o LDAPS.
  7. Si seleccionó STARTTLS o LDAPS, elija el certificado utilizado para proteger la conexión.

    • Utilizar certificado CA del sistema operativo: Utilice el certificado predeterminado de CA de red instalado en el sistema operativo para asegurar las conexiones.

    • Utilizar certificado de CA personalizado: Utilice un certificado de seguridad personalizado.

      Si selecciona esta opción, copie y pegue el certificado de seguridad personalizado en el cuadro de texto del certificado de CA.

Pruebe la conexión y guarde la configuración

Después de introducir todos los valores, es necesario probar la conexión para poder guardar la configuración. StorageGRID verifica la configuración de conexión del servidor LDAP y el formato de nombre de usuario de enlace, si proporcionó uno.

Pasos
  1. Seleccione probar conexión.

  2. Si no se proporciona un formato de nombre de usuario de enlace:

    • Si la configuración de conexión es válida, aparecerá un mensaje que indica que la conexión se ha realizado correctamente. Seleccione Guardar para guardar la configuración.

    • Si la configuración de conexión no es válida, aparecerá un mensaje que indica que no se ha podido establecer la conexión de prueba. Seleccione Cerrar. Luego, resuelva cualquier problema y vuelva a probar la conexión.

  3. Si proporcionó un formato de nombre de usuario de enlace, introduzca el nombre de usuario y la contraseña de un usuario federado válido.

    Por ejemplo, introduzca su propio nombre de usuario y contraseña. No incluya ningún carácter especial en el nombre de usuario, como @ o /.

    Solicitud de federación de identidades para validar el formato de nombre de usuario de enlace
    • Si la configuración de conexión es válida, aparecerá un mensaje que indica que la conexión se ha realizado correctamente. Seleccione Guardar para guardar la configuración.

    • Aparecerá un mensaje de error si las opciones de conexión, el formato de nombre de usuario de enlace o el nombre de usuario y la contraseña de prueba no son válidos. Resuelva los problemas y vuelva a probar la conexión.

Forzar la sincronización con el origen de identidades

El sistema StorageGRID sincroniza periódicamente grupos federados y usuarios del origen de identidades. Puede forzar el inicio de la sincronización si desea habilitar o restringir los permisos de usuario lo antes posible.

Pasos
  1. Vaya a la página federación de identidades.

  2. Seleccione servidor de sincronización en la parte superior de la página.

    El proceso de sincronización puede tardar bastante tiempo en función del entorno.

    Nota La alerta fallo de sincronización de la federación de identidades se activa si hay un problema al sincronizar grupos federados y usuarios del origen de identidades.

Deshabilitar la federación de identidades

Puede deshabilitar temporalmente o de forma permanente la federación de identidades para grupos y usuarios. Cuando la federación de identidades está deshabilitada, no existe comunicación entre StorageGRID y el origen de identidades. Sin embargo, cualquier configuración que haya configurado se conservará, lo que le permitirá volver a habilitar fácilmente la federación de identidades en el futuro.

Acerca de esta tarea

Antes de deshabilitar la federación de identidades, debe tener en cuenta lo siguiente:

  • Los usuarios federados no podrán iniciar sesión.

  • Los usuarios federados que hayan iniciado sesión en ese momento, retendrán el acceso al sistema StorageGRID hasta que caduque la sesión, pero no podrán iniciar sesión después de que caduque la sesión.

  • La sincronización entre el sistema StorageGRID y el origen de identidad no se producirá y no se generarán alertas para las cuentas que no se hayan sincronizado.

  • La casilla de verificación Habilitar federación de identidad está desactivada si el inicio de sesión único (SSO) está configurado en enabled o Sandbox Mode. El estado de SSO de la página Single Sign-On debe ser Desactivado antes de poder deshabilitar la federación de identidades. Consulte "Desactive el inicio de sesión único".

Pasos
  1. Vaya a la página federación de identidades.

  2. Desmarque la casilla de verificación Habilitar federación de identidad.

Instrucciones para configurar el servidor OpenLDAP

Si desea utilizar un servidor OpenLDAP para la federación de identidades, debe configurar ajustes específicos en el servidor OpenLDAP.

Precaución En el caso de fuentes de identidad que no sean ActiveDirectory ni Azure, StorageGRID no bloqueará automáticamente el acceso S3 a los usuarios que estén deshabilitados externamente. Para bloquear el acceso a S3, elimine cualquier clave S3 para el usuario o elimine al usuario de todos los grupos.

Revestimientos memberOf y reft

Se deben habilitar las superposiciones memberof y reft. Para obtener más información, consulte las instrucciones para invertir el mantenimiento de los miembros del grupo en la "Documentación de OpenLDAP: Guía del administrador de la versión 2.4"sección .

Indización

Debe configurar los siguientes atributos OpenLDAP con las palabras clave de índice especificadas:

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

Además, asegúrese de que los campos mencionados en la ayuda para Nombre de usuario estén indexados para un rendimiento óptimo.

Consulte la información sobre el mantenimiento inverso de miembros de grupo en la "Documentación de OpenLDAP: Guía del administrador de la versión 2.4".