Skip to main content
SnapCenter software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérer l'authentification multifacteur (MFA)

PDF

Vous pouvez gérer la fonctionnalité d’authentification multifacteur (MFA) dans le serveur Active Directory Federation Service (AD FS) et le serveur SnapCenter .

Activer l'authentification multifacteur (MFA)

Vous pouvez activer la fonctionnalité MFA pour SnapCenter Server à l’aide des commandes PowerShell.

À propos de cette tâche

  • SnapCenter prend en charge les connexions basées sur SSO lorsque d’autres applications sont configurées dans le même AD FS. Dans certaines configurations AD FS, SnapCenter peut nécessiter une authentification utilisateur pour des raisons de sécurité en fonction de la persistance de la session AD FS.

  • Les informations concernant les paramètres pouvant être utilisés avec l'applet de commande et leurs descriptions peuvent être obtenues en exécutant Get-Help command_name . Alternativement, vous pouvez également voir "Guide de référence de l'applet de commande du logiciel SnapCenter" .

Avant de commencer

  • Le service de fédération Windows Active Directory (AD FS) doit être opérationnel dans le domaine concerné.

  • Vous devez disposer d’un service d’authentification multifacteur pris en charge par AD FS, tel qu’Azure MFA, Cisco Duo, etc.

  • L'horodatage du serveur SnapCenter et AD FS doit être le même quel que soit le fuseau horaire.

  • Procurez-vous et configurez le certificat CA autorisé pour SnapCenter Server.

    Le certificat CA est obligatoire pour les raisons suivantes :

    • Garantit que les communications ADFS-F5 ne sont pas interrompues car les certificats auto-signés sont uniques au niveau du nœud.

    • Garantit que lors de la mise à niveau, de la réparation ou de la reprise après sinistre (DR) dans une configuration autonome ou à haute disponibilité, le certificat auto-signé n'est pas recréé, évitant ainsi la reconfiguration MFA.

    • Assure les résolutions IP-FQDN.

      Pour plus d'informations sur le certificat CA, voir"Générer le fichier CSR du certificat CA" .

Étapes

  1. Connectez-vous à l’hôte Active Directory Federation Services (AD FS).

  2. Téléchargez le fichier de métadonnées de la fédération AD FS à partir de"https://<host Nom de domaine complet>/FederationMetadata/2007-06/FederationMetadata.xml".

  3. Copiez le fichier téléchargé sur SnapCenter Server pour activer la fonction MFA.

  4. Connectez-vous à SnapCenter Server en tant qu’utilisateur administrateur SnapCenter via PowerShell.

  5. À l’aide de la session PowerShell, générez le fichier de métadonnées SnapCenter MFA à l’aide de l’applet de commande New-SmMultifactorAuthenticationMetadata -path.

    Le paramètre path spécifie le chemin d'accès pour enregistrer le fichier de métadonnées MFA dans l'hôte SnapCenter Server.

  6. Copiez le fichier généré sur l’hôte AD FS pour configurer SnapCenter comme entité client.

  7. Activer MFA pour SnapCenter Server à l'aide de l' Set-SmMultiFactorAuthentication applet de commande.

  8. (Facultatif) Vérifiez l'état et les paramètres de configuration MFA à l'aide de Get-SmMultiFactorAuthentication applet de commande.

  9. Accédez à la console de gestion Microsoft (MMC) et effectuez les étapes suivantes :

    1. Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.

    2. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter.

    3. Dans la fenêtre du composant logiciel enfichable Certificats, sélectionnez l’option Compte d’ordinateur, puis cliquez sur Terminer.

    4. Cliquez sur Racine de la console > Certificats – Ordinateur local > Personnel > Certificats.

    5. Cliquez avec le bouton droit sur le certificat CA lié à SnapCenter , puis sélectionnez Toutes les tâches > Gérer les clés privées.

    6. Dans l’assistant d’autorisations, procédez comme suit :

      1. Cliquez sur Ajouter.

      2. Cliquez sur Emplacements et sélectionnez l'hôte concerné (en haut de la hiérarchie).

      3. Cliquez sur OK dans la fenêtre contextuelle Emplacements.

      4. Dans le champ du nom de l'objet, saisissez « IIS_IUSRS » et cliquez sur Vérifier les noms, puis sur OK.

        Si la vérification est réussie, cliquez sur OK.

  10. Dans l’hôte AD FS, ouvrez l’assistant de gestion AD FS et effectuez les étapes suivantes :

    1. Cliquez avec le bouton droit sur Approbations de partie de confiance > Ajouter une approbation de partie de confiance > Démarrer.

    2. Sélectionnez la deuxième option et parcourez le fichier de métadonnées SnapCenter MFA et cliquez sur Suivant.

    3. Spécifiez un nom d’affichage et cliquez sur Suivant.

    4. Choisissez une politique de contrôle d’accès selon vos besoins et cliquez sur Suivant.

    5. Sélectionnez les paramètres par défaut dans l'onglet suivant.

    6. Cliquez sur Terminer.

      SnapCenter est désormais reflété comme une partie de confiance avec le nom d'affichage fourni.

  11. Sélectionnez le nom et effectuez les étapes suivantes :

    1. Cliquez sur Modifier la politique d’émission de réclamation.

    2. Cliquez sur Ajouter une règle et cliquez sur Suivant.

    3. Spécifiez un nom pour la règle de revendication.

    4. Sélectionnez Active Directory comme magasin d’attributs.

    5. Sélectionnez l'attribut User-Principal-Name et le type de réclamation sortant comme Name-ID.

    6. Cliquez sur Terminer.

  12. Exécutez les commandes PowerShell suivantes sur le serveur ADFS.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Effectuez les étapes suivantes pour confirmer que les métadonnées ont été importées avec succès.

    1. Cliquez avec le bouton droit sur l’approbation de la partie de confiance et sélectionnez Propriétés.

    2. Assurez-vous que les champs Points de terminaison, Identifiants et Signature sont renseignés.

  14. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.

La fonctionnalité SnapCenter MFA peut également être activée à l'aide des API REST.

Pour obtenir des informations de dépannage, consultez "Les tentatives de connexion simultanées dans plusieurs onglets affichent une erreur MFA" .

Mettre à jour les métadonnées AD FS MFA

Vous devez mettre à jour les métadonnées AD FS MFA dans SnapCenter chaque fois qu'une modification est apportée au serveur AD FS, comme une mise à niveau, un renouvellement de certificat d'autorité de certification, une reprise après sinistre, etc.

Étapes

  1. Téléchargez le fichier de métadonnées de la fédération AD FS à partir de"https://<host Nom de domaine complet>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Copiez le fichier téléchargé sur SnapCenter Server pour mettre à jour la configuration MFA.

  3. Mettez à jour les métadonnées AD FS dans SnapCenter en exécutant l’applet de commande suivante :

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.

Mettre à jour les métadonnées SnapCenter MFA

Vous devez mettre à jour les métadonnées SnapCenter MFA dans AD FS chaque fois qu'une modification est apportée au serveur ADFS, telle qu'une réparation, un renouvellement de certificat CA, une reprise après sinistre, etc.

Étapes

  1. Dans l’hôte AD FS, ouvrez l’assistant de gestion AD FS et effectuez les étapes suivantes :

    1. Sélectionnez Fiducies de partie de confiance.

    2. Cliquez avec le bouton droit sur la partie de confiance qui a été créée pour SnapCenter et sélectionnez Supprimer.

      Le nom défini par l'utilisateur de la partie de confiance sera affiché.

    3. Activer l’authentification multifacteur (MFA).

      Voir "Activer l'authentification multifacteur" .

  2. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.

Désactiver l'authentification multifacteur (MFA)

Étapes

  1. Désactivez MFA et nettoyez les fichiers de configuration qui ont été créés lorsque MFA a été activé à l'aide de l' Set-SmMultiFactorAuthentication applet de commande.

  2. Fermez tous les onglets du navigateur et rouvrez un navigateur pour effacer les cookies de session existants ou actifs, puis reconnectez-vous.