Utilisation de la fédération des identités
L'utilisation de la fédération des identités accélère la configuration des groupes et des utilisateurs et permet aux utilisateurs de se connecter à StorageGRID à l'aide des informations d'identification familières.
Configuration de la fédération des identités
Vous pouvez configurer la fédération des identités si vous souhaitez que les groupes et utilisateurs d'administration soient gérés dans un autre système, tel qu'Active Directory, OpenLDAP ou Oracle Directory Server.
-
Vous devez être connecté à Grid Manager à l'aide d'un navigateur pris en charge.
-
Vous devez disposer d'autorisations d'accès spécifiques.
-
Si vous prévoyez d'activer l'authentification unique (SSO), vous devez utiliser Active Directory comme source d'identité fédérée et AD FS comme fournisseur d'identité. Voir « exigences relatives à l'utilisation d'un seul signe ».
-
Vous devez utiliser Active Directory, OpenLDAP ou Oracle Directory Server comme fournisseur d'identité.
Si vous souhaitez utiliser un service LDAP v3 non répertorié, contactez le support technique. -
Si vous prévoyez d'utiliser TLS (transport Layer Security) pour les communications avec le serveur LDAP, le fournisseur d'identité doit utiliser TLS 1.2 ou 1.3.
Vous devez configurer un référentiel d'identité pour le Grid Manager si vous souhaitez importer les types de groupes fédérés suivants :
-
Groupes d'administration. Les utilisateurs des groupes admin peuvent se connecter au gestionnaire de grille et effectuer des tâches en fonction des autorisations de gestion attribuées au groupe.
-
Groupes d'utilisateurs locataires pour les locataires qui n'utilisent pas leur propre référentiel d'identité. Les utilisateurs des groupes de locataires peuvent se connecter au Gestionnaire de locataires et effectuer des tâches en fonction des autorisations attribuées au groupe dans le Gestionnaire de locataires.
-
Sélectionnez Configuration > contrôle d'accès > fédération d'identités.
-
Sélectionnez Activer la fédération d'identités.
Les champs de configuration du serveur LDAP s'affichent.
-
Dans la section Type de service LDAP, sélectionnez le type de service LDAP que vous souhaitez configurer.
Vous pouvez sélectionner Active Directory, OpenLDAP ou autre.
Si vous sélectionnez OpenLDAP, vous devez configurer le serveur OpenLDAP. Reportez-vous aux instructions de configuration d'un serveur OpenLDAP. Sélectionnez autre pour configurer les valeurs d'un serveur LDAP qui utilise Oracle Directory Server. -
Si vous avez sélectionné autre, renseignez les champs de la section attributs LDAP.
-
Nom unique utilisateur : nom de l'attribut qui contient l'identifiant unique d'un utilisateur LDAP. Cet attribut est équivalent à
sAMAccountName
Pour Active Directory etuid
Pour OpenLDAP. Si vous configurez Oracle Directory Server, entrezuid
. -
UUID d'utilisateur : nom de l'attribut qui contient l'identifiant unique permanent d'un utilisateur LDAP. Cet attribut est équivalent à
objectGUID
Pour Active Directory etentryUUID
Pour OpenLDAP. Si vous configurez Oracle Directory Server, entreznsuniqueid
. La valeur de chaque utilisateur pour l'attribut spécifié doit être un nombre hexadécimal à 32 chiffres au format 16 octets ou chaîne, où les tirets sont ignorés. -
Nom unique de groupe : nom de l'attribut qui contient l'identifiant unique d'un groupe LDAP. Cet attribut est équivalent à
sAMAccountName
Pour Active Directory etcn
Pour OpenLDAP. Si vous configurez Oracle Directory Server, entrezcn
. -
UUID de groupe : nom de l'attribut qui contient l'identificateur unique permanent d'un groupe LDAP. Cet attribut est équivalent à
objectGUID
Pour Active Directory etentryUUID
Pour OpenLDAP. Si vous configurez Oracle Directory Server, entreznsuniqueid
. La valeur de chaque groupe pour l'attribut spécifié doit être un nombre hexadécimal à 32 chiffres au format 16 octets ou chaîne, où les tirets sont ignorés.
-
-
Dans la section configurer le serveur LDAP, entrez les informations de serveur LDAP et de connexion réseau requises.
-
Nom d'hôte : le nom d'hôte du serveur ou l'adresse IP du serveur LDAP.
-
Port : port utilisé pour se connecter au serveur LDAP.
Le port par défaut de STARTTLS est 389 et le port par défaut de LDAPS est 636. Cependant, vous pouvez utiliser n'importe quel port tant que votre pare-feu est configuré correctement. -
Nom d'utilisateur : chemin complet du nom distinctif (DN) de l'utilisateur qui se connectera au serveur LDAP.
Pour Active Directory, vous pouvez également spécifier le nom de connexion bas niveau ou le nom principal d'utilisateur. L'utilisateur spécifié doit être autorisé à répertorier les groupes et les utilisateurs et à accéder aux attributs suivants :
-
sAMAccountName
ouuid
-
objectGUID
,entryUUID
, ounsuniqueid
-
cn
-
memberOf
ouisMemberOf
-
-
Mot de passe : mot de passe associé au nom d'utilisateur.
-
DN de base de groupe : chemin complet du nom distinctif (DN) pour une sous-arborescence LDAP que vous voulez rechercher des groupes. Dans l'exemple Active Directory (ci-dessous), tous les groupes dont le nom unique est relatif au DN de base (DC=storagegrid,DC=exemple,DC=com) peuvent être utilisés comme groupes fédérés.
Les valeurs Nom unique de groupe doivent être uniques dans le DN de base de groupe auquel elles appartiennent. -
DN de base d'utilisateur : le chemin complet du nom distinctif (DN) d'une sous-arborescence LDAP que vous voulez rechercher des utilisateurs.
Les valeurs Nom unique utilisateur doivent être uniques dans le DN de base utilisateur auquel elles appartiennent.
-
-
Dans la section transport Layer Security (TLS), sélectionnez un paramètre de sécurité.
-
Utilisez STARTTLS (recommandé) : utilisez STARTTLS pour sécuriser les communications avec le serveur LDAP. Il s'agit de l'option recommandée.
-
Utilisez LDAPS : l'option LDAPS (LDAP sur SSL) utilise TLS pour établir une connexion au serveur LDAP. Cette option est prise en charge pour des raisons de compatibilité.
-
N'utilisez pas TLS : le trafic réseau entre le système StorageGRID et le serveur LDAP ne sera pas sécurisé.
L'utilisation de l'option ne pas utiliser TLS n'est pas prise en charge si votre serveur Active Directory applique la signature LDAP. Vous devez utiliser STARTTLS ou LDAPS.
-
-
Si vous avez sélectionné STARTTLS ou LDAPS, choisissez le certificat utilisé pour sécuriser la connexion.
-
Utilisez le certificat CA du système d'exploitation : utilisez le certificat CA par défaut installé sur le système d'exploitation pour sécuriser les connexions.
-
Utilisez un certificat d'autorité de certification personnalisé : utilisez un certificat de sécurité personnalisé.
Si vous sélectionnez ce paramètre, copiez et collez le certificat de sécurité personnalisé dans la zone de texte certificat de l'autorité de certification.
-
-
Vous pouvez également sélectionner Tester la connexion pour valider vos paramètres de connexion pour le serveur LDAP.
Un message de confirmation s'affiche dans le coin supérieur droit de la page si la connexion est valide.
-
Si la connexion est valide, sélectionnez Enregistrer.
La capture d'écran suivante montre des exemples de valeurs de configuration pour un serveur LDAP qui utilise Active Directory.
"Chiffrement pris en charge pour les connexions TLS sortantes"
Instructions de configuration d'un serveur OpenLDAP
Si vous souhaitez utiliser un serveur OpenLDAP pour la fédération des identités, vous devez configurer des paramètres spécifiques sur le serveur OpenLDAP.
Recouvrements de memberOf et de raffint
Les recouvrements de membre et de raffinage doivent être activés. Pour plus d'informations, reportez-vous aux instructions relatives à la maintenance de l'adhésion inverse au groupe dans le Guide de l'administrateur pour OpenLDAP.
Indexation
Vous devez configurer les attributs OpenLDAP suivants avec les mots-clés d'index spécifiés :
-
olcDbIndex: objectClass eq
-
olcDbIndex: uid eq,pres,sub
-
olcDbIndex: cn eq,pres,sub
-
olcDbIndex: entryUUID eq
De plus, assurez-vous que les champs mentionnés dans l'aide pour le nom d'utilisateur sont indexés pour des performances optimales.
Reportez-vous aux informations sur la maintenance de l'adhésion au groupe inverse dans le Guide de l'administrateur pour OpenLDAP.
"Documentation OpenLDAP : version 2.4 - Guide de l'administrateur"
Forcer la synchronisation avec le référentiel d'identité
Le système StorageGRID synchronise régulièrement les groupes fédérés et les utilisateurs à partir du référentiel d'identité. Vous pouvez forcer la synchronisation à démarrer si vous souhaitez activer ou restreindre les autorisations utilisateur le plus rapidement possible.
-
Vous devez être connecté à Grid Manager à l'aide d'un navigateur pris en charge.
-
Vous devez disposer d'autorisations d'accès spécifiques.
-
Le référentiel d'identité doit être activé.
-
Sélectionnez Configuration > contrôle d'accès > fédération d'identités.
La page Fédération des identités s'affiche. Le bouton Synchroniser se trouve en bas de la page.
-
Cliquez sur Synchroniser.
Un message de confirmation indique que la synchronisation a démarré correctement. Le processus de synchronisation peut prendre un certain temps en fonction de votre environnement.
L'alerte échec de synchronisation de la fédération d'identités est déclenchée en cas de problème de synchronisation des groupes fédérés et des utilisateurs à partir du référentiel d'identité.
Désactivation de la fédération des identités
Vous pouvez désactiver temporairement ou définitivement la fédération des identités pour les groupes et les utilisateurs. Lorsque la fédération des identités est désactivée, il n'y a aucune communication entre StorageGRID et le référentiel d'identité. Cependant, tous les paramètres que vous avez configurés sont conservés, ce qui vous permet de réactiver facilement la fédération d'identités à l'avenir.
-
Vous devez être connecté à Grid Manager à l'aide d'un navigateur pris en charge.
-
Vous devez disposer d'autorisations d'accès spécifiques.
Avant de désactiver la fédération des identités, vous devez prendre connaissance des points suivants :
-
Les utilisateurs fédérés ne pourront pas se connecter.
-
Les utilisateurs fédérés qui sont actuellement connectés conservent l'accès au système StorageGRID jusqu'à l'expiration de leur session, mais ils ne pourront pas se connecter après l'expiration de leur session.
-
La synchronisation entre le système StorageGRID et le référentiel d'identité ne se produira pas et des alertes ou des alarmes ne seront pas émises pour les comptes qui n'ont pas été synchronisés.
-
La case à cocher Activer la fédération d'identités est désactivée si l'authentification unique (SSO) est définie sur Enabled ou Sandbox mode. Le statut SSO sur la page connexion unique doit être désactivé avant de pouvoir désactiver la fédération d'identités.
-
Sélectionnez Configuration > contrôle d'accès > fédération d'identités.
-
Décochez la case Activer la fédération d'identités.
-
Cliquez sur Enregistrer.