Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gestion de l'authentification multifacteur (MFA)

Contributeurs

Vous pouvez gérer la fonctionnalité d'authentification multifacteur (MFA) dans le serveur AD FS (Active Directory Federation Service) et le serveur SnapCenter.

Prise en charge de l'authentification multifacteur (MFA)

Vous pouvez activer la fonctionnalité MFA pour SnapCenter Server à l'aide des commandes PowerShell.

Description de la tâche
  • SnapCenter prend en charge les connexions basées sur SSO lorsque d'autres applications sont configurées dans le même AD FS. Dans certaines configurations AD FS, SnapCenter peut exiger une authentification de l'utilisateur pour des raisons de sécurité, en fonction de la persistance de la session AD FS.

  • Les informations concernant les paramètres qui peuvent être utilisés avec l'applet de commande et leurs descriptions peuvent être obtenues en exécutant Get-Help command_name. Vous pouvez également voir "Guide de référence de l'applet de commande du logiciel SnapCenter".

Avant de commencer
  • Windows Active Directory Federation Service (AD FS) doit être opérationnel dans le domaine respectif.

  • Vous devez disposer d'un service d'authentification multifacteur pris en charge par AD FS, tel que Azure MFA, Cisco Duo, etc.

  • L'horodatage du serveur SnapCenter et AD FS doit être identique, quel que soit le fuseau horaire.

  • Procurez-vous et configurez le certificat d'autorité de certification autorisé pour le serveur SnapCenter.

    Le certificat CA est obligatoire pour les raisons suivantes :

    • Garantit que les communications ADFS-F5 ne se rompez pas, car les certificats auto-signés sont uniques au niveau du nœud.

    • Garantit que lors de la mise à niveau, de la réparation ou de la reprise après incident dans une configuration autonome ou haute disponibilité, le certificat autosigné ne sera pas recréé, ce qui évite la reconfiguration de l'authentification multifacteur.

    • Garantit les résolutions IP-FQDN.

      Pour plus d'informations sur le certificat CA, reportez-vous à la section "Générer le fichier CSR de certificat CA".

Étapes
  1. Connectez-vous à l'hôte Active Directory Federation Services (AD FS).

  2. Télécharger le fichier de métadonnées AD FS federation depuis "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml ».

  3. Copiez le fichier téléchargé sur le serveur SnapCenter pour activer la fonctionnalité MFA.

  4. Connectez-vous au serveur SnapCenter en tant qu'administrateur SnapCenter via PowerShell.

  5. À l'aide de la session PowerShell, générez le fichier de métadonnées SnapCenter MFA à l'aide de l'applet de commande New-SmMultifactorAuthenticationMetadata -path.

    Le paramètre PATH spécifie le chemin d'enregistrement du fichier de métadonnées MFA sur l'hôte du serveur SnapCenter.

  6. Copiez le fichier généré sur l'hôte AD FS pour configurer SnapCenter en tant qu'entité client.

  7. Activez MFA pour le serveur SnapCenter à l'aide de l' Set-SmMultiFactorAuthentication applet de commande.

  8. (Facultatif) Vérifiez l'état et les paramètres de configuration MFA à l'aide de Get-SmMultiFactorAuthentication l'applet de commande.

  9. Accédez à la console de gestion Microsoft (MMC) et effectuez les opérations suivantes :

    1. Cliquez sur fichier > Ajouter/Supprimer Snapin.

    2. Dans la fenêtre Ajouter ou supprimer des Snap-ins, sélectionnez certificats, puis cliquez sur Ajouter.

    3. Dans la fenêtre du composant logiciel enfichable certificats, sélectionnez l'option compte ordinateur, puis cliquez sur Terminer.

    4. Cliquez sur Console Root > Certificates – local Computer > Personal > Certificates.

    5. Cliquez avec le bouton droit de la souris sur le certificat d'autorité de certification lié à SnapCenter, puis sélectionnez toutes les tâches > gérer les clés privées.

    6. Sur l'assistant d'autorisations, effectuez les opérations suivantes :

      1. Cliquez sur Ajouter.

      2. Cliquez sur emplacements et sélectionnez l'hôte concerné (en haut de la hiérarchie).

      3. Cliquez sur OK dans la fenêtre contextuelle emplacements.

      4. Dans le champ Nom d'objet, entrez ‘IIS_IUSRS’, puis cliquez sur vérifier les noms et cliquez sur OK.

        Si la vérification a réussi, cliquez sur OK.

  10. Dans l'hôte AD FS, ouvrez l'assistant de gestion AD FS et effectuez les opérations suivantes :

    1. Cliquez avec le bouton droit de la souris sur fiducies de partie de confiance > Ajouter confiance de partie de confiance > début.

    2. Sélectionnez la deuxième option, parcourez le fichier de métadonnées MFA SnapCenter et cliquez sur Suivant.

    3. Spécifiez un nom d'affichage et cliquez sur Suivant.

    4. Choisissez une stratégie de contrôle d'accès, le cas échéant, et cliquez sur Suivant.

    5. Sélectionnez les paramètres par défaut dans l'onglet suivant.

    6. Cliquez sur Terminer.

      SnapCenter se reflète désormais comme une personne de confiance avec le nom d'affichage fourni.

  11. Sélectionnez le nom et effectuez les opérations suivantes :

    1. Cliquez sur Modifier la politique d'émission des demandes de remboursement.

    2. Cliquez sur Ajouter règle et cliquez sur Suivant.

    3. Spécifiez un nom pour la règle de sinistre.

    4. Sélectionnez Active Directory comme magasin d'attributs.

    5. Sélectionnez l'attribut User-principal-Name et le type de réclamation sortant comme Name-ID.

    6. Cliquez sur Terminer.

  12. Exécutez les commandes PowerShell suivantes sur le serveur ADFS.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Procédez comme suit pour confirmer que les métadonnées ont été importées avec succès.

    1. Cliquez avec le bouton droit de la souris sur la confiance de la partie de confiance et sélectionnez Propriétés.

    2. Assurez-vous que les champs points finaux, identificateurs et Signature sont renseignés.

  14. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.

La fonctionnalité MFA de SnapCenter peut également être activée au moyen d'API REST.

Pour plus d'informations sur le dépannage, reportez-vous à "Les tentatives de connexion simultanées dans plusieurs onglets indiquent une erreur MFA"la .

Mettre à jour les métadonnées AD FS MFA

Vous devez mettre à jour les métadonnées AD FS MFA dans SnapCenter en cas de modification du serveur AD FS, telles que la mise à niveau, le renouvellement du certificat CA, la reprise sur incident, etc.

Étapes
  1. Télécharger le fichier de métadonnées AD FS federation depuis "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml »

  2. Copiez le fichier téléchargé sur le serveur SnapCenter pour mettre à jour la configuration MFA.

  3. Mettez à jour les métadonnées AD FS dans SnapCenter en exécutant l'applet de commande suivante :

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.

Mettre à jour les métadonnées MFA de SnapCenter

Vous devez mettre à jour les métadonnées MFA SnapCenter dans AD FS en cas de modification du serveur ADFS, comme la réparation, le renouvellement du certificat CA, la reprise sur incident, etc.

Étapes
  1. Dans l'hôte AD FS, ouvrez l'assistant de gestion AD FS et effectuez les opérations suivantes :

    1. Cliquez sur confiance de la partie de confiance.

    2. Cliquez avec le bouton droit de la souris sur la confiance de la partie de confiance créée pour SnapCenter et cliquez sur Supprimer.

      Le nom défini par l'utilisateur de la confiance de la partie utilisatrice s'affiche.

    3. Activez l'authentification multifacteur (MFA).

  2. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.

Désactivation de l'authentification multifacteur (MFA)

Étapes
  1. Désactivez MFA et nettoyez les fichiers de configuration créés lorsque MFA a été activé à l'aide de l' Set-SmMultiFactorAuthentication applet de commande.

  2. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.