Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Utilisation de la fédération des identités

Contributeurs

L'utilisation de la fédération des identités accélère la configuration des groupes et des utilisateurs et permet aux utilisateurs de se connecter à StorageGRID à l'aide des informations d'identification familières.

Configuration de la fédération des identités

Vous pouvez configurer la fédération des identités si vous souhaitez que les groupes et utilisateurs d'administration soient gérés dans un autre système, tel qu'Active Directory, OpenLDAP ou Oracle Directory Server.

Ce dont vous avez besoin
  • Vous devez être connecté à Grid Manager à l'aide d'un navigateur pris en charge.

  • Vous devez disposer d'autorisations d'accès spécifiques.

  • Si vous prévoyez d'activer l'authentification unique (SSO), vous devez utiliser Active Directory comme source d'identité fédérée et AD FS comme fournisseur d'identité. Voir « exigences relatives à l'utilisation d'un seul signe ».

  • Vous devez utiliser Active Directory, OpenLDAP ou Oracle Directory Server comme fournisseur d'identité.

    Remarque Si vous souhaitez utiliser un service LDAP v3 non répertorié, contactez le support technique.
  • Si vous prévoyez d'utiliser TLS (transport Layer Security) pour les communications avec le serveur LDAP, le fournisseur d'identité doit utiliser TLS 1.2 ou 1.3.

Description de la tâche

Vous devez configurer un référentiel d'identité pour le Grid Manager si vous souhaitez importer les types de groupes fédérés suivants :

  • Groupes d'administration. Les utilisateurs des groupes admin peuvent se connecter au gestionnaire de grille et effectuer des tâches en fonction des autorisations de gestion attribuées au groupe.

  • Groupes d'utilisateurs locataires pour les locataires qui n'utilisent pas leur propre référentiel d'identité. Les utilisateurs des groupes de locataires peuvent se connecter au Gestionnaire de locataires et effectuer des tâches en fonction des autorisations attribuées au groupe dans le Gestionnaire de locataires.

Étapes
  1. Sélectionnez Configuration > contrôle d'accès > fédération d'identités.

  2. Sélectionnez Activer la fédération d'identités.

    Les champs de configuration du serveur LDAP s'affichent.

  3. Dans la section Type de service LDAP, sélectionnez le type de service LDAP que vous souhaitez configurer.

    Vous pouvez sélectionner Active Directory, OpenLDAP ou autre.

    Remarque Si vous sélectionnez OpenLDAP, vous devez configurer le serveur OpenLDAP. Reportez-vous aux instructions de configuration d'un serveur OpenLDAP.
    Remarque Sélectionnez autre pour configurer les valeurs d'un serveur LDAP qui utilise Oracle Directory Server.
  4. Si vous avez sélectionné autre, renseignez les champs de la section attributs LDAP.

    • Nom unique utilisateur : nom de l'attribut qui contient l'identifiant unique d'un utilisateur LDAP. Cet attribut est équivalent à sAMAccountName Pour Active Directory et uid Pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez uid.

    • UUID d'utilisateur : nom de l'attribut qui contient l'identifiant unique permanent d'un utilisateur LDAP. Cet attribut est équivalent à objectGUID Pour Active Directory et entryUUID Pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez nsuniqueid. La valeur de chaque utilisateur pour l'attribut spécifié doit être un nombre hexadécimal à 32 chiffres au format 16 octets ou chaîne, où les tirets sont ignorés.

    • Nom unique de groupe : nom de l'attribut qui contient l'identifiant unique d'un groupe LDAP. Cet attribut est équivalent à sAMAccountName Pour Active Directory et cn Pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez cn.

    • UUID de groupe : nom de l'attribut qui contient l'identificateur unique permanent d'un groupe LDAP. Cet attribut est équivalent à objectGUID Pour Active Directory et entryUUID Pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez nsuniqueid. La valeur de chaque groupe pour l'attribut spécifié doit être un nombre hexadécimal à 32 chiffres au format 16 octets ou chaîne, où les tirets sont ignorés.

  5. Dans la section configurer le serveur LDAP, entrez les informations de serveur LDAP et de connexion réseau requises.

    • Nom d'hôte : le nom d'hôte du serveur ou l'adresse IP du serveur LDAP.

    • Port : port utilisé pour se connecter au serveur LDAP.

      Remarque Le port par défaut de STARTTLS est 389 et le port par défaut de LDAPS est 636. Cependant, vous pouvez utiliser n'importe quel port tant que votre pare-feu est configuré correctement.
    • Nom d'utilisateur : chemin complet du nom distinctif (DN) de l'utilisateur qui se connectera au serveur LDAP.

      Remarque Pour Active Directory, vous pouvez également spécifier le nom de connexion bas niveau ou le nom principal d'utilisateur.

      L'utilisateur spécifié doit être autorisé à répertorier les groupes et les utilisateurs et à accéder aux attributs suivants :

      • sAMAccountName ou uid

      • objectGUID, entryUUID, ou nsuniqueid

      • cn

      • memberOf ou isMemberOf

    • Mot de passe : mot de passe associé au nom d'utilisateur.

    • DN de base de groupe : chemin complet du nom distinctif (DN) pour une sous-arborescence LDAP que vous voulez rechercher des groupes. Dans l'exemple Active Directory (ci-dessous), tous les groupes dont le nom unique est relatif au DN de base (DC=storagegrid,DC=exemple,DC=com) peuvent être utilisés comme groupes fédérés.

      Remarque Les valeurs Nom unique de groupe doivent être uniques dans le DN de base de groupe auquel elles appartiennent.
    • DN de base d'utilisateur : le chemin complet du nom distinctif (DN) d'une sous-arborescence LDAP que vous voulez rechercher des utilisateurs.

      Remarque Les valeurs Nom unique utilisateur doivent être uniques dans le DN de base utilisateur auquel elles appartiennent.
  6. Dans la section transport Layer Security (TLS), sélectionnez un paramètre de sécurité.

    • Utilisez STARTTLS (recommandé) : utilisez STARTTLS pour sécuriser les communications avec le serveur LDAP. Il s'agit de l'option recommandée.

    • Utilisez LDAPS : l'option LDAPS (LDAP sur SSL) utilise TLS pour établir une connexion au serveur LDAP. Cette option est prise en charge pour des raisons de compatibilité.

    • N'utilisez pas TLS : le trafic réseau entre le système StorageGRID et le serveur LDAP ne sera pas sécurisé.

      Remarque L'utilisation de l'option ne pas utiliser TLS n'est pas prise en charge si votre serveur Active Directory applique la signature LDAP. Vous devez utiliser STARTTLS ou LDAPS.
  7. Si vous avez sélectionné STARTTLS ou LDAPS, choisissez le certificat utilisé pour sécuriser la connexion.

    • Utilisez le certificat CA du système d'exploitation : utilisez le certificat CA par défaut installé sur le système d'exploitation pour sécuriser les connexions.

    • Utilisez un certificat d'autorité de certification personnalisé : utilisez un certificat de sécurité personnalisé.

      Si vous sélectionnez ce paramètre, copiez et collez le certificat de sécurité personnalisé dans la zone de texte certificat de l'autorité de certification.

  8. Vous pouvez également sélectionner Tester la connexion pour valider vos paramètres de connexion pour le serveur LDAP.

    Un message de confirmation s'affiche dans le coin supérieur droit de la page si la connexion est valide.

  9. Si la connexion est valide, sélectionnez Enregistrer.

    La capture d'écran suivante montre des exemples de valeurs de configuration pour un serveur LDAP qui utilise Active Directory.

    Page de fédération des identités présentant le serveur LDAP qui utilise Active Directory

Instructions de configuration d'un serveur OpenLDAP

Si vous souhaitez utiliser un serveur OpenLDAP pour la fédération des identités, vous devez configurer des paramètres spécifiques sur le serveur OpenLDAP.

Recouvrements de memberOf et de raffint

Les recouvrements de membre et de raffinage doivent être activés. Pour plus d'informations, reportez-vous aux instructions relatives à la maintenance de l'adhésion inverse au groupe dans le Guide de l'administrateur pour OpenLDAP.

Indexation

Vous devez configurer les attributs OpenLDAP suivants avec les mots-clés d'index spécifiés :

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

De plus, assurez-vous que les champs mentionnés dans l'aide pour le nom d'utilisateur sont indexés pour des performances optimales.

Reportez-vous aux informations sur la maintenance de l'adhésion au groupe inverse dans le Guide de l'administrateur pour OpenLDAP.

Forcer la synchronisation avec le référentiel d'identité

Le système StorageGRID synchronise régulièrement les groupes fédérés et les utilisateurs à partir du référentiel d'identité. Vous pouvez forcer la synchronisation à démarrer si vous souhaitez activer ou restreindre les autorisations utilisateur le plus rapidement possible.

Ce dont vous avez besoin
  • Vous devez être connecté à Grid Manager à l'aide d'un navigateur pris en charge.

  • Vous devez disposer d'autorisations d'accès spécifiques.

  • Le référentiel d'identité doit être activé.

Étapes
  1. Sélectionnez Configuration > contrôle d'accès > fédération d'identités.

    La page Fédération des identités s'affiche. Le bouton Synchroniser se trouve en bas de la page.

    Capture d'écran du bouton Configuration > Fédération des identités > Synchroniser
  2. Cliquez sur Synchroniser.

    Un message de confirmation indique que la synchronisation a démarré correctement. Le processus de synchronisation peut prendre un certain temps en fonction de votre environnement.

    Remarque L'alerte échec de synchronisation de la fédération d'identités est déclenchée en cas de problème de synchronisation des groupes fédérés et des utilisateurs à partir du référentiel d'identité.

Désactivation de la fédération des identités

Vous pouvez désactiver temporairement ou définitivement la fédération des identités pour les groupes et les utilisateurs. Lorsque la fédération des identités est désactivée, il n'y a aucune communication entre StorageGRID et le référentiel d'identité. Cependant, tous les paramètres que vous avez configurés sont conservés, ce qui vous permet de réactiver facilement la fédération d'identités à l'avenir.

Ce dont vous avez besoin
  • Vous devez être connecté à Grid Manager à l'aide d'un navigateur pris en charge.

  • Vous devez disposer d'autorisations d'accès spécifiques.

Description de la tâche

Avant de désactiver la fédération des identités, vous devez prendre connaissance des points suivants :

  • Les utilisateurs fédérés ne pourront pas se connecter.

  • Les utilisateurs fédérés qui sont actuellement connectés conservent l'accès au système StorageGRID jusqu'à l'expiration de leur session, mais ils ne pourront pas se connecter après l'expiration de leur session.

  • La synchronisation entre le système StorageGRID et le référentiel d'identité ne se produira pas et des alertes ou des alarmes ne seront pas émises pour les comptes qui n'ont pas été synchronisés.

  • La case à cocher Activer la fédération d'identités est désactivée si l'authentification unique (SSO) est définie sur Enabled ou Sandbox mode. Le statut SSO sur la page connexion unique doit être désactivé avant de pouvoir désactiver la fédération d'identités.

Étapes
  1. Sélectionnez Configuration > contrôle d'accès > fédération d'identités.

  2. Décochez la case Activer la fédération d'identités.

  3. Cliquez sur Enregistrer.

Informations associées

"Désactivation de la connexion unique"