Activer l'authentification multifacteur (MFA)
Pour activer la fonctionnalité MFA, vous devez exécuter certaines étapes dans le serveur Active Directory Federation Service (AD FS) et le serveur SnapCenter.
Ce dont vous aurez besoin
-
Windows Active Directory Federation Service (AD FS) doit être opérationnel dans le domaine respectif.
-
Vous devez disposer de services d'authentification multifacteur pris en charge par AD FS, tels qu'Azure MFA, Cisco Duo, etc.
-
L'horodatage du serveur SnapCenter et AD FS doit être identique, quel que soit le fuseau horaire.
-
Procurez-vous et configurez le certificat d'autorité de certification autorisé pour le serveur SnapCenter.
Le certificat CA est obligatoire pour les raisons suivantes :
-
Garantit que les communications ADFS-F5 ne se rompez pas car les certificats auto-signés sont uniques au niveau du nœud.
-
Garantit que lors de la mise à niveau, de la réparation ou de la reprise après incident dans une configuration autonome ou haute disponibilité, le certificat autosigné ne sera pas recréé, ce qui évite la reconfiguration de l'authentification multifacteur.
-
Garantit les résolutions IP-FQDN.
Pour plus d'informations sur le certificat CA, reportez-vous à la section "Générer le fichier CSR de certificat CA".
-
À propos de cette tâche
-
SnapCenter prend en charge les connexions basées sur SSO lorsque d'autres applications sont configurées dans le même AD FS. Dans certaines configurations AD FS, SnapCenter peut exiger une authentification de l'utilisateur pour des raisons de sécurité, en fonction de la persistance de la session AD FS.
-
Les informations concernant les paramètres pouvant être utilisés avec la cmdlet et leurs descriptions peuvent être obtenues en exécutant Get-Help nom_commande. Vous pouvez également vous reporter au "Guide de référence de l'applet de commande du logiciel SnapCenter".
Étapes
-
Connectez-vous à l'hôte Active Directory Federation Services (AD FS).
-
Téléchargez le fichier de métadonnées de la fédération AD FS à partir de "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml »
-
Copiez le fichier téléchargé sur le serveur SnapCenter pour activer la fonctionnalité MFA.
-
Connectez-vous au serveur SnapCenter en tant qu'administrateur SnapCenter via PowerShell.
-
À l'aide de la session PowerShell, générez le fichier de métadonnées SnapCenter MFA à l'aide de l'applet de commande New-SmMultifactorAuthenticationMetadata -path.
Le paramètre PATH spécifie le chemin d'enregistrement du fichier de métadonnées MFA sur l'hôte du serveur SnapCenter.
-
Copiez le fichier généré sur l'hôte AD FS pour configurer SnapCenter en tant qu'entité client.
-
Activez l'authentification multifacteur pour le serveur SnapCenter à l'aide de l'applet de commande set-SmMultiFactorAuthentication -Enable -Path.
Le paramètre PATH spécifie l'emplacement du fichier xml de métadonnées MFA AD FS, qui a été copié sur le serveur SnapCenter à l'étape 3.
-
(Facultatif) Vérifiez l'état et les paramètres de la configuration MFA à l'aide de la commande Get-SmMultiFactorAuthentication cmdlet.
-
Accédez à la console de gestion Microsoft (MMC) et effectuez les opérations suivantes :
-
Cliquez sur fichier > Ajouter/Supprimer Snapin.
-
Dans la fenêtre Ajouter ou supprimer des Snap-ins, sélectionnez certificats, puis cliquez sur Ajouter.
-
Dans la fenêtre du composant logiciel enfichable certificats, sélectionnez l'option compte ordinateur, puis cliquez sur Terminer.
-
Cliquez sur Console Root > Certificates – local Computer > Personal > Certificates.
-
Cliquez avec le bouton droit de la souris sur le certificat d'autorité de certification lié à SnapCenter, puis sélectionnez toutes les tâches > gérer les clés privées.
-
Sur l'assistant d'autorisations, effectuez les opérations suivantes :
-
Cliquez sur Ajouter
-
Cliquez sur emplacements et sélectionnez l'hôte concerné (haut de la hiérarchie)
-
Cliquez sur OK dans la fenêtre contextuelle emplacements.
-
Dans le champ Nom d'objet, entrez ‘IIS_IUSRS’, puis cliquez sur vérifier les noms et cliquez sur OK.
Si la vérification a réussi, cliquez sur OK.
-
-
-
Dans l'hôte AD FS, ouvrez l'assistant de gestion AD FS et effectuez les opérations suivantes :
-
Cliquez avec le bouton droit de la souris sur fiducies de partie de confiance > Ajouter confiance de partie de confiance > début.
-
Sélectionnez la deuxième option, parcourez le fichier de métadonnées MFA SnapCenter et cliquez sur Suivant.
-
Spécifiez un nom d'affichage et cliquez sur Suivant.
-
Choisissez la stratégie de contrôle d'accès et cliquez sur Suivant.
-
Définissez les paramètres par défaut dans l'onglet suivant.
-
Cliquez sur Terminer.
SnapCenter se reflète désormais comme une personne de confiance avec le nom d'affichage fourni.
-
-
Sélectionnez le nom et effectuez les opérations suivantes :
-
Cliquez sur Modifier la politique d'émission des demandes de remboursement.
-
Cliquez sur Ajouter règle et cliquez sur Suivant.
-
Spécifiez un nom pour la règle de sinistre
-
Sélectionnez Active Directory comme magasin d'attributs.
-
Sélectionnez l'attribut User-principal-Name et le type de réclamation sortant comme Name-ID.
-
Cliquez sur Terminer.
-
-
Exécutez les commandes PowerShell suivantes sur le serveur ADFS.
Set-AdfsRelyingPartyTrust -TargetName '<Afficher le nom de la partie de confiance >' -SigningCertificateRevocationCheck None
Set-AdfsRelyingPartyTrust -TargetName '<Afficher le nom de la partie de confiance >' -EncryptionCertificateRevocationCheck None
-
Procédez comme suit pour confirmer que les métadonnées ont été importées avec succès.
-
Cliquez avec le bouton droit de la souris sur la confiance de la partie de confiance et sélectionnez Propriétés.
-
Assurez-vous que les champs points finaux, identificateurs et Signature sont renseignés.
-
La fonctionnalité MFA de SnapCenter peut également être activée au moyen d'API REST.
Après la fin
Après l'activation, la mise à jour ou la désactivation des paramètres MFA dans SnapCenter, fermez tous les onglets du navigateur et rouvrez un navigateur pour vous reconnecter. Ceci efface les cookies de session existants ou actifs.
Pour plus d'informations sur le dépannage, reportez-vous à la section "Les tentatives de connexion simultanées dans plusieurs onglets indiquent une erreur MFA".
Mettre à jour les métadonnées AD FS MFA
Vous devez mettre à jour les métadonnées AD FS MFA dans SnapCenter en cas de modification du serveur AD FS, telles que la mise à niveau, le renouvellement du certificat CA, la reprise sur incident, etc.
Étapes
-
Téléchargez le fichier de métadonnées de la fédération AD FS à partir de "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml »
-
Copiez le fichier téléchargé sur le serveur SnapCenter pour mettre à jour la configuration MFA.
-
Mettez à jour les métadonnées AD FS dans SnapCenter en exécutant l'applet de commande suivante :
Set-SmMultiFactorAuthentication -Path <location du fichier xml de métadonnées ADSP MFA>
Après la fin
Après l'activation, la mise à jour ou la désactivation des paramètres MFA dans SnapCenter, fermez tous les onglets du navigateur et rouvrez un navigateur pour vous reconnecter. Ceci efface les cookies de session existants ou actifs.
Mettre à jour les métadonnées MFA de SnapCenter
Vous devez mettre à jour les métadonnées MFA SnapCenter dans AD FS en cas de modification du serveur ADFS, comme la réparation, le renouvellement du certificat CA, la reprise sur incident, etc.
Étapes
-
Dans l'hôte AD FS, ouvrez l'assistant de gestion AD FS et effectuez les opérations suivantes :
-
Cliquez sur confiance de la partie de confiance.
-
Cliquez avec le bouton droit de la souris sur la confiance de la partie de confiance créée pour SnapCenter et cliquez sur Supprimer.
Le nom défini par l'utilisateur de la confiance de la partie utilisatrice s'affiche.
-
Activez l'authentification multifacteur (MFA).
Reportez-vous à "Activer l'authentification multifacteur"
-
Après la fin
Après l'activation, la mise à jour ou la désactivation des paramètres MFA dans SnapCenter, fermez tous les onglets du navigateur et rouvrez un navigateur pour vous reconnecter. Ceci efface les cookies de session existants ou actifs.
Désactivation de l'authentification multifacteur (MFA)
Désactivez l'authentification multifacteur et nettoyez les fichiers de configuration créés lorsque l'authentification multifacteur a été activée à l'aide de l'applet de commande set-SmMultiFactorAuthentication -Disable.
Après la fin
Après l'activation, la mise à jour ou la désactivation des paramètres MFA dans SnapCenter, fermez tous les onglets du navigateur et rouvrez un navigateur pour vous reconnecter. Ceci efface les cookies de session existants ou actifs.