Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Création de fiducies de tiers de confiance dans AD FS

Contributeurs

Vous devez utiliser Active Directory Federation Services (AD FS) pour créer une confiance de partie de confiance pour chaque nœud d'administration de votre système. Vous pouvez créer des approbations tierces via les commandes PowerShell, en important les métadonnées SAML depuis StorageGRID ou en saisissant manuellement les données.

Création d'une confiance de confiance avec Windows PowerShell

Vous pouvez utiliser Windows PowerShell pour créer rapidement une ou plusieurs approbations de parties qui font confiance.

Ce dont vous avez besoin
  • Vous avez configuré l'authentification unique dans StorageGRID et vous connaissez le nom de domaine complet (ou l'adresse IP) et l'identifiant de partie utilisatrice pour chaque noeud d'administration de votre système.

    Remarque Vous devez créer une confiance en tiers pour chaque nœud d'administration de votre système StorageGRID. Le fait d'avoir une confiance de partie de confiance pour chaque nœud d'administration permet aux utilisateurs de se connecter et de se déconnecter en toute sécurité à n'importe quel nœud d'administration.
  • Vous avez l'expérience de créer des approbations de tiers de confiance dans AD FS, ou vous avez accès à la documentation Microsoft AD FS.

  • Vous utilisez le composant logiciel enfichable AD FS Management et vous appartenez au groupe administrateurs.

Description de la tâche

Ces instructions s'appliquent à AD FS 4.0, qui est inclus dans Windows Server 2016. Si vous utilisez AD FS 3.0, qui est inclus dans Windows 2012 R2, vous remarquerez de légères différences dans la procédure. Pour toute question, consultez la documentation Microsoft AD FS.

Étapes
  1. Dans le menu Démarrer de Windows, cliquez avec le bouton droit de la souris sur l'icône PowerShell et sélectionnez Exécuter en tant qu'administrateur.

  2. À l'invite de commande PowerShell, saisissez la commande suivante :

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Pour Admin_Node_Identifier, Entrez l'identifiant de partie de confiance du noeud d'administration, exactement comme il apparaît sur la page Single Sign-On. Par exemple : SG-DC1-ADM1.

    • Pour Admin_Node_FQDN, Entrez le nom de domaine complet du même nœud d'administration. (Si nécessaire, vous pouvez utiliser l'adresse IP du nœud à la place. Toutefois, si vous saisissez une adresse IP ici, sachez que vous devez mettre à jour ou recréer cette confiance de partie de confiance si cette adresse IP change.)

  3. Dans le Gestionnaire de serveur Windows, sélectionnez Outils > AD FS Management.

    L'outil de gestion AD FS s'affiche.

  4. Sélectionnez AD FS > confiance de la partie de confiance.

    La liste des fiducies de tiers de confiance s'affiche.

  5. Ajouter une stratégie de contrôle d'accès à la confiance de la partie qui vient d'être créée :

    1. Recherchez la confiance de la partie de confiance que vous venez de créer.

    2. Cliquez avec le bouton droit de la souris sur la confiance et sélectionnez Modifier la stratégie de contrôle d'accès.

    3. Sélectionnez une stratégie de contrôle d'accès.

    4. Cliquez sur appliquer, puis sur OK

  6. Ajouter une politique d'émission de demandes de remboursement à la nouvelle fiducie de compte comptant :

    1. Recherchez la confiance de la partie de confiance que vous venez de créer.

    2. Cliquez avec le bouton droit de la souris sur la fiducie et sélectionnez Modifier la politique d'émission des sinistres.

    3. Cliquez sur Ajouter règle.

    4. Sur la page Sélectionner un modèle de règle, sélectionnez Envoyer attributs LDAP en tant que revendications dans la liste, puis cliquez sur Suivant.

    5. Sur la page configurer la règle, entrez un nom d'affichage pour cette règle.

      Par exemple, objectGUID to Name ID.

    6. Pour le magasin d'attributs, sélectionnez Active Directory.

    7. Dans la colonne attribut LDAP de la table mappage, saisissez objectGUID.

    8. Dans la colonne Type de demande sortante de la table mappage, sélectionnez Nom ID dans la liste déroulante.

    9. Cliquez sur Terminer, puis sur OK.

  7. Confirmez que les métadonnées ont été importées avec succès.

    1. Cliquez avec le bouton droit de la souris sur la confiance de la partie utilisatrices pour ouvrir ses propriétés.

    2. Vérifiez que les champs des onglets Endpoints, identificateurs et Signature sont renseignés.

      Si les métadonnées sont manquantes, confirmez que l'adresse des métadonnées de la fédération est correcte ou entrez simplement les valeurs manuellement.

  8. Répétez ces étapes pour configurer une confiance de tiers pour tous les nœuds d'administration de votre système StorageGRID.

  9. Lorsque vous avez terminé, revenez à StorageGRID et "tester toutes les fiducies de la partie qui repose" pour confirmer qu'ils sont correctement configurés.

Création d'une confiance de tiers de confiance en important des métadonnées de fédération

Vous pouvez importer les valeurs de chaque confiance de fournisseur en accédant aux métadonnées SAML de chaque nœud d'administration.

Ce dont vous avez besoin
  • Vous avez configuré l'authentification unique dans StorageGRID et vous connaissez le nom de domaine complet (ou l'adresse IP) et l'identifiant de partie utilisatrice pour chaque noeud d'administration de votre système.

    Remarque Vous devez créer une confiance en tiers pour chaque nœud d'administration de votre système StorageGRID. Le fait d'avoir une confiance de partie de confiance pour chaque nœud d'administration permet aux utilisateurs de se connecter et de se déconnecter en toute sécurité à n'importe quel nœud d'administration.
  • Vous avez l'expérience de créer des approbations de tiers de confiance dans AD FS, ou vous avez accès à la documentation Microsoft AD FS.

  • Vous utilisez le composant logiciel enfichable AD FS Management et vous appartenez au groupe administrateurs.

Description de la tâche

Ces instructions s'appliquent à AD FS 4.0, qui est inclus dans Windows Server 2016. Si vous utilisez AD FS 3.0, qui est inclus dans Windows 2012 R2, vous remarquerez de légères différences dans la procédure. Pour toute question, consultez la documentation Microsoft AD FS.

Étapes
  1. Dans le Gestionnaire de serveur Windows, cliquez sur Outils, puis sélectionnez AD FS Management.

  2. Sous actions, cliquez sur Ajouter la confiance de la partie de confiance.

  3. Sur la page de bienvenue, choisissez revendications Aware, puis cliquez sur Démarrer.

  4. Sélectionnez Importer les données concernant la partie de confiance publiée en ligne ou sur un réseau local.

  5. Dans adresse de métadonnées de fédération (nom d'hôte ou URL), saisissez l'emplacement des métadonnées SAML pour ce noeud d'administration :

    https://Admin_Node_FQDN/api/saml-metadata

    Pour Admin_Node_FQDN, Entrez le nom de domaine complet du même nœud d'administration. (Si nécessaire, vous pouvez utiliser l'adresse IP du nœud à la place. Toutefois, si vous saisissez une adresse IP ici, sachez que vous devez mettre à jour ou recréer cette confiance de partie de confiance si cette adresse IP change.)

  6. Terminez l'assistant confiance de la partie de confiance, enregistrez la confiance de la partie de confiance et fermez l'assistant.

    Remarque Lors de la saisie du nom d'affichage, utilisez l'identificateur de partie comptant pour le noeud d'administration, exactement comme il apparaît sur la page d'ouverture de session unique dans le Gestionnaire de grille. Par exemple : SG-DC1-ADM1.
  7. Ajouter une règle de sinistre :

    1. Cliquez avec le bouton droit de la souris sur la fiducie et sélectionnez Modifier la politique d'émission des sinistres.

    2. Cliquez sur Ajouter règle :

    3. Sur la page Sélectionner un modèle de règle, sélectionnez Envoyer attributs LDAP en tant que revendications dans la liste, puis cliquez sur Suivant.

    4. Sur la page configurer la règle, entrez un nom d'affichage pour cette règle.

      Par exemple, objectGUID to Name ID.

    5. Pour le magasin d'attributs, sélectionnez Active Directory.

    6. Dans la colonne attribut LDAP de la table mappage, saisissez objectGUID.

    7. Dans la colonne Type de demande sortante de la table mappage, sélectionnez Nom ID dans la liste déroulante.

    8. Cliquez sur Terminer, puis sur OK.

  8. Confirmez que les métadonnées ont été importées avec succès.

    1. Cliquez avec le bouton droit de la souris sur la confiance de la partie utilisatrices pour ouvrir ses propriétés.

    2. Vérifiez que les champs des onglets Endpoints, identificateurs et Signature sont renseignés.

      Si les métadonnées sont manquantes, confirmez que l'adresse des métadonnées de la fédération est correcte ou entrez simplement les valeurs manuellement.

  9. Répétez ces étapes pour configurer une confiance de tiers pour tous les nœuds d'administration de votre système StorageGRID.

  10. Lorsque vous avez terminé, revenez à StorageGRID et "tester toutes les fiducies de la partie qui repose" pour confirmer qu'ils sont correctement configurés.

Création manuelle d'une confiance de partie de confiance

Si vous choisissez de ne pas importer les données pour les approbations de pièces de confiance, vous pouvez entrer les valeurs manuellement.

Ce dont vous avez besoin
  • Vous avez configuré l'authentification unique dans StorageGRID et vous connaissez le nom de domaine complet (ou l'adresse IP) et l'identifiant de partie utilisatrice pour chaque noeud d'administration de votre système.

    Remarque Vous devez créer une confiance en tiers pour chaque nœud d'administration de votre système StorageGRID. Le fait d'avoir une confiance de partie de confiance pour chaque nœud d'administration permet aux utilisateurs de se connecter et de se déconnecter en toute sécurité à n'importe quel nœud d'administration.
  • Vous disposez du certificat personnalisé chargé pour l'interface de gestion StorageGRID, ou vous savez comment vous connecter à un nœud d'administration à partir du shell de commande.

  • Vous avez l'expérience de créer des approbations de tiers de confiance dans AD FS, ou vous avez accès à la documentation Microsoft AD FS.

  • Vous utilisez le composant logiciel enfichable AD FS Management et vous appartenez au groupe administrateurs.

Description de la tâche

Ces instructions s'appliquent à AD FS 4.0, qui est inclus dans Windows Server 2016. Si vous utilisez AD FS 3.0, qui est inclus dans Windows 2012 R2, vous remarquerez de légères différences dans la procédure. Pour toute question, consultez la documentation Microsoft AD FS.

Étapes
  1. Dans le Gestionnaire de serveur Windows, cliquez sur Outils, puis sélectionnez AD FS Management.

  2. Sous actions, cliquez sur Ajouter la confiance de la partie de confiance.

  3. Sur la page de bienvenue, choisissez revendications Aware, puis cliquez sur Démarrer.

  4. Sélectionnez Entrez les données relatives à la partie de confiance manuellement, puis cliquez sur Suivant.

  5. Suivez l'assistant confiance de la partie de confiance :

    1. Entrez un nom d'affichage pour ce nœud d'administration.

      Pour plus de cohérence, utilisez l'identifiant de partie utilisatrices du nœud d'administration, exactement comme il apparaît sur la page Single Sign-On du Grid Manager. Par exemple : SG-DC1-ADM1.

    2. Ignorez l'étape pour configurer un certificat de chiffrement de jeton facultatif.

    3. Sur la page configurer l'URL, cochez la case Activer la prise en charge du protocole SAML 2.0 WebSSO.

    4. Saisissez l'URL du noeud final du service SAML pour le noeud d'administration :

      https://Admin_Node_FQDN/api/saml-response

      Pour Admin_Node_FQDN, Entrez le nom de domaine complet du nœud d'administration. (Si nécessaire, vous pouvez utiliser l'adresse IP du nœud à la place. Toutefois, si vous saisissez une adresse IP ici, sachez que vous devez mettre à jour ou recréer cette confiance de partie de confiance si cette adresse IP change.)

    5. Sur la page configurer les identificateurs, spécifiez l'identificateur de partie de confiance pour le même noeud d'administration :

      Admin_Node_Identifier

      Pour Admin_Node_Identifier, Entrez l'identifiant de partie de confiance du noeud d'administration, exactement comme il apparaît sur la page Single Sign-On. Par exemple : SG-DC1-ADM1.

    6. Vérifiez les paramètres, enregistrez la confiance de la partie utilisatrices et fermez l'assistant.

      La boîte de dialogue Modifier la politique d'émission des demandes de remboursement s'affiche.

    Remarque Si la boîte de dialogue ne s'affiche pas, cliquez avec le bouton droit de la souris sur la fiducie et sélectionnez Modifier la politique d'émission des sinistres.
  6. Pour démarrer l'assistant règle de sinistre, cliquez sur Ajouter règle :

    1. Sur la page Sélectionner un modèle de règle, sélectionnez Envoyer attributs LDAP en tant que revendications dans la liste, puis cliquez sur Suivant.

    2. Sur la page configurer la règle, entrez un nom d'affichage pour cette règle.

      Par exemple, objectGUID to Name ID.

    3. Pour le magasin d'attributs, sélectionnez Active Directory.

    4. Dans la colonne attribut LDAP de la table mappage, saisissez objectGUID.

    5. Dans la colonne Type de demande sortante de la table mappage, sélectionnez Nom ID dans la liste déroulante.

    6. Cliquez sur Terminer, puis sur OK.

  7. Cliquez avec le bouton droit de la souris sur la confiance de la partie utilisatrices pour ouvrir ses propriétés.

  8. Dans l'onglet Endpoints, configurez le noeud final pour une déconnexion unique (SLO) :

    1. Cliquez sur Ajouter SAML.

    2. Sélectionnez Endpoint Type > SAML Logout.

    3. Sélectionnez Redirect > Redirect.

    4. Dans le champ URL de confiance, entrez l'URL utilisée pour la déconnexion unique (SLO) à partir de ce noeud d'administration :

      https://Admin_Node_FQDN/api/saml-logout

    Pour Admin_Node_FQDN, Entrez le nom de domaine complet du nœud d'administration. (Si nécessaire, vous pouvez utiliser l'adresse IP du nœud à la place. Toutefois, si vous saisissez une adresse IP ici, sachez que vous devez mettre à jour ou recréer cette confiance de partie de confiance si cette adresse IP change.)

    1. Cliquez sur OK.

  9. Dans l'onglet Signature, spécifiez le certificat de signature pour la fiducie de cette partie de confiance :

    1. Ajouter le certificat personnalisé :

      • Si vous disposez du certificat de gestion personnalisé que vous avez téléchargé vers StorageGRID, sélectionnez ce certificat.

      • Si vous ne disposez pas du certificat personnalisé, connectez-vous au nœud d'administration, accédez au /var/local/mgmt-api Répertoire du nœud d'administration et ajoutez le custom-server.crt fichier de certificat.

        Remarque : utilisation du certificat par défaut du noeud d'administration (server.crt) n'est pas recommandé. Si le nœud d'administration échoue, le certificat par défaut sera régénéré lorsque vous restaurez le nœud et vous devrez mettre à jour la confiance de l'organisme de confiance.

    2. Cliquez sur appliquer, puis sur OK.

      Les propriétés de la partie de confiance sont enregistrées et fermées.

  10. Répétez ces étapes pour configurer une confiance de tiers pour tous les nœuds d'administration de votre système StorageGRID.

  11. Lorsque vous avez terminé, revenez à StorageGRID et "tester toutes les fiducies de la partie qui repose" pour confirmer qu'ils sont correctement configurés.