Utiliser le mode sandbox
Vous pouvez utiliser le mode sandbox pour configurer et tester l'authentification unique (SSO) avant de l'activer pour tous les utilisateurs StorageGRID. Une fois SSO activé, vous pouvez revenir en mode sandbox chaque fois que vous devez modifier ou tester à nouveau la configuration.
-
Vous êtes connecté au Grid Manager à l'aide d'un "navigateur web pris en charge".
-
Vous disposez de l'autorisation d'accès racine.
-
Vous avez configuré la fédération des identités pour votre système StorageGRID.
-
Pour le type de service LDAP * de fédération d'identités, vous avez sélectionné Active Directory ou Azure, en fonction du fournisseur d'identité SSO que vous envisagez d'utiliser.
Type de service LDAP configuré Options pour le fournisseur d'identité SSO Active Directory
-
Active Directory
-
Azure
-
PingFederate
Azure
Azure
-
Lorsque SSO est activé et qu'un utilisateur tente de se connecter à un nœud d'administration, StorageGRID envoie une demande d'authentification au fournisseur d'identité SSO. Le fournisseur d'identité SSO renvoie une réponse d'authentification à StorageGRID, indiquant si la demande d'authentification a réussi. Pour les demandes réussies :
-
La réponse d'Active Directory ou PingFederate inclut un identifiant unique universel (UUID) pour l'utilisateur.
-
La réponse d'Azure inclut un nom d'utilisateur principal (UPN).
Pour permettre à StorageGRID (le fournisseur de services) et au fournisseur d'identité SSO de communiquer en toute sécurité au sujet des demandes d'authentification des utilisateurs, vous devez configurer certains paramètres dans StorageGRID. Ensuite, vous devez utiliser le logiciel du fournisseur d'identités SSO pour créer une confiance de tiers de confiance (AD FS), une application d'entreprise (Azure) ou un fournisseur de services (PingFederate) pour chaque nœud d'administration. Enfin, vous devez revenir à StorageGRID pour activer le SSO.
Le mode sandbox facilite l'exécution de cette configuration et le test de tous vos paramètres avant l'activation de SSO. Lorsque vous utilisez le mode sandbox, les utilisateurs ne peuvent pas se connecter à l'aide de SSO.
Accéder au mode sandbox
-
Sélectionnez CONFIGURATION > contrôle d'accès > connexion unique.
La page connexion unique s'affiche, avec l'option Disabled sélectionnée.
Si les options Statut SSO ne s'affichent pas, vérifiez que vous avez configuré le fournisseur d'identité comme référentiel d'identité fédéré. Voir "Configuration requise et considérations pour l'authentification unique". -
Sélectionnez Sandbox mode.
La section fournisseur d'identité s'affiche.
Saisissez les détails du fournisseur d'identité
-
Sélectionnez le SSO type dans la liste déroulante.
-
Renseignez les champs de la section Identity Provider en fonction du type SSO sélectionné.
-
Entrez le nom du service de fédération * pour le fournisseur d'identités, exactement comme il apparaît dans Active Directory Federation Service (AD FS).
Pour localiser le nom du service de fédération, accédez à Windows Server Manager. Sélectionnez Outils > AD FS Management. Dans le menu action, sélectionnez Modifier les propriétés du service de fédération. Le nom du service de fédération est indiqué dans le second champ. -
Spécifiez le certificat TLS qui sera utilisé pour sécuriser la connexion lorsque le fournisseur d'identité envoie des informations de configuration SSO en réponse aux requêtes StorageGRID.
-
Utilisez le certificat CA du système d'exploitation : utilisez le certificat CA par défaut installé sur le système d'exploitation pour sécuriser la connexion.
-
Utilisez un certificat d'autorité de certification personnalisé : utilisez un certificat d'autorité de certification personnalisé pour sécuriser la connexion.
Si vous sélectionnez ce paramètre, copiez le texte du certificat personnalisé et collez-le dans la zone de texte certificat CA.
-
N'utilisez pas TLS: N'utilisez pas de certificat TLS pour sécuriser la connexion.
-
-
Dans la section partie de confiance, spécifiez l'identificateur de partie de confiance* pour StorageGRID. Cette valeur contrôle le nom que vous utilisez pour chaque confiance de partie utilisatrices dans AD FS.
-
Par exemple, si votre grid ne comporte qu'un seul nœud d'administration et que vous ne prévoyez pas d'ajouter d'autres nœuds d'administration à l'avenir, entrez
SG
ouStorageGRID
. -
Si votre grid inclut plusieurs nœuds d'administration, incluez la chaîne
[HOSTNAME]
dans l'identificateur. Par exemple :SG-[HOSTNAME]
. Cette commande génère une table qui affiche l'identifiant de partie comptant pour chaque nœud d'administration de votre système, en fonction du nom d'hôte du nœud.
Vous devez créer une confiance en tiers pour chaque nœud d'administration de votre système StorageGRID. Le fait d'avoir une confiance de partie de confiance pour chaque nœud d'administration permet aux utilisateurs de se connecter et de se déconnecter en toute sécurité à n'importe quel nœud d'administration. -
-
Sélectionnez Enregistrer.
Une coche verte apparaît sur le bouton Save pendant quelques secondes.
-
Spécifiez le certificat TLS qui sera utilisé pour sécuriser la connexion lorsque le fournisseur d'identité envoie des informations de configuration SSO en réponse aux requêtes StorageGRID.
-
Utilisez le certificat CA du système d'exploitation : utilisez le certificat CA par défaut installé sur le système d'exploitation pour sécuriser la connexion.
-
Utilisez un certificat d'autorité de certification personnalisé : utilisez un certificat d'autorité de certification personnalisé pour sécuriser la connexion.
Si vous sélectionnez ce paramètre, copiez le texte du certificat personnalisé et collez-le dans la zone de texte certificat CA.
-
N'utilisez pas TLS: N'utilisez pas de certificat TLS pour sécuriser la connexion.
-
-
Dans la section application entreprise, spécifiez le Nom de l'application entreprise pour StorageGRID. Cette valeur contrôle le nom que vous utilisez pour chaque application d'entreprise dans Azure AD.
-
Par exemple, si votre grid ne comporte qu'un seul nœud d'administration et que vous ne prévoyez pas d'ajouter d'autres nœuds d'administration à l'avenir, entrez
SG
ouStorageGRID
. -
Si votre grid inclut plusieurs nœuds d'administration, incluez la chaîne
[HOSTNAME]
dans l'identificateur. Par exemple :SG-[HOSTNAME]
. Cela génère une table qui indique le nom d'une application d'entreprise pour chaque noeud d'administration de votre système, en fonction du nom d'hôte du noeud.
Vous devez créer une application d'entreprise pour chaque nœud d'administration de votre système StorageGRID. La présence d'une application d'entreprise pour chaque nœud d'administration garantit que les utilisateurs peuvent se connecter et se déconnecter en toute sécurité à n'importe quel nœud d'administration. -
-
Suivez les étapes de la section "Création d'applications d'entreprise dans Azure AD" Pour créer une application d'entreprise pour chaque noeud d'administration répertorié dans le tableau.
-
Depuis Azure AD, copiez l'URL des métadonnées de fédération pour chaque application d'entreprise. Ensuite, collez cette URL dans le champ URL* des métadonnées de fédération correspondant dans StorageGRID.
-
Après avoir copié et collé une URL de métadonnées de fédération pour tous les nœuds d'administration, sélectionnez Enregistrer.
Une coche verte apparaît sur le bouton Save pendant quelques secondes.
-
Spécifiez le certificat TLS qui sera utilisé pour sécuriser la connexion lorsque le fournisseur d'identité envoie des informations de configuration SSO en réponse aux requêtes StorageGRID.
-
Utilisez le certificat CA du système d'exploitation : utilisez le certificat CA par défaut installé sur le système d'exploitation pour sécuriser la connexion.
-
Utilisez un certificat d'autorité de certification personnalisé : utilisez un certificat d'autorité de certification personnalisé pour sécuriser la connexion.
Si vous sélectionnez ce paramètre, copiez le texte du certificat personnalisé et collez-le dans la zone de texte certificat CA.
-
N'utilisez pas TLS: N'utilisez pas de certificat TLS pour sécuriser la connexion.
-
-
Dans la section SP (Service Provider), spécifiez l'ID de connexion SP pour StorageGRID. Cette valeur contrôle le nom que vous utilisez pour chaque connexion SP dans PingFederate.
-
Par exemple, si votre grid ne comporte qu'un seul nœud d'administration et que vous ne prévoyez pas d'ajouter d'autres nœuds d'administration à l'avenir, entrez
SG
ouStorageGRID
. -
Si votre grid inclut plusieurs nœuds d'administration, incluez la chaîne
[HOSTNAME]
dans l'identificateur. Par exemple :SG-[HOSTNAME]
. Ce tableau génère un ID de connexion SP pour chaque nœud d'administration de votre système, en fonction du nom d'hôte du nœud.
Vous devez créer une connexion SP pour chaque nœud d'administration de votre système StorageGRID. La présence d'une connexion SP pour chaque nœud d'administration permet aux utilisateurs de se connecter et de se déconnecter en toute sécurité à n'importe quel nœud d'administration. -
-
Spécifiez l'URL des métadonnées de fédération pour chaque noeud d'administration dans le champ URL des métadonnées de fédération.
Utilisez le format suivant :
https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>
-
Sélectionnez Enregistrer.
Une coche verte apparaît sur le bouton Save pendant quelques secondes.
Configurez les approbations des parties utilisatrices, les applications d'entreprise ou les connexions SP
Lorsque la configuration est enregistrée, l'avis de confirmation du mode Sandbox s'affiche. Cet avis confirme que le mode sandbox est désormais activé et fournit des instructions de présentation.
StorageGRID peut rester en mode sandbox tant que nécessaire. Toutefois, lorsque Sandbox mode est sélectionné sur la page connexion unique, SSO est désactivé pour tous les utilisateurs StorageGRID. Seuls les utilisateurs locaux peuvent se connecter.
Procédez comme suit pour configurer les approbations de tiers de confiance (Active Directory), les applications d'entreprise complètes (Azure) ou les connexions SP (PingFederate).
-
Accédez à Active Directory Federation Services (AD FS).
-
Créez une ou plusieurs fiducies de tiers de confiance pour StorageGRID, en utilisant chaque identifiant de partie de confiance indiqué dans le tableau de la page authentification unique StorageGRID.
Vous devez créer une confiance pour chaque noeud d'administration indiqué dans le tableau.
Pour obtenir des instructions, reportez-vous à la section "Créer des fiducies de tiers de confiance dans AD FS".
-
Dans la page Single Sign-on du noeud d'administration auquel vous êtes actuellement connecté, sélectionnez le bouton pour télécharger et enregistrer les métadonnées SAML.
-
Ensuite, pour tout autre nœud d'administration de votre grid, répétez la procédure suivante :
-
Connectez-vous au nœud.
-
Sélectionnez CONFIGURATION > contrôle d'accès > connexion unique.
-
Téléchargez et enregistrez les métadonnées SAML pour ce nœud.
-
-
Accédez au portail Azure.
-
Suivez les étapes de la section "Création d'applications d'entreprise dans Azure AD" Pour charger le fichier de métadonnées SAML de chaque nœud d'administration dans l'application d'entreprise Azure correspondante.
-
Dans la page Single Sign-on du noeud d'administration auquel vous êtes actuellement connecté, sélectionnez le bouton pour télécharger et enregistrer les métadonnées SAML.
-
Ensuite, pour tout autre nœud d'administration de votre grid, répétez la procédure suivante :
-
Connectez-vous au nœud.
-
Sélectionnez CONFIGURATION > contrôle d'accès > connexion unique.
-
Téléchargez et enregistrez les métadonnées SAML pour ce nœud.
-
-
Accédez à PingFederate.
-
"Créez une ou plusieurs connexions de fournisseur de services pour StorageGRID". Utilisez l'ID de connexion SP pour chaque nœud d'administration (indiqué dans le tableau de la page d'authentification unique StorageGRID) et les métadonnées SAML que vous avez téléchargées pour ce nœud d'administration.
Vous devez créer une connexion SP pour chaque nœud d'administration affiché dans le tableau.
Tester les connexions SSO
Avant d'appliquer l'utilisation de l'authentification unique pour l'ensemble de votre système StorageGRID, vous devez confirmer que l'authentification unique et la déconnexion unique sont correctement configurées pour chaque nœud d'administration.
-
Sur la page d'ouverture de session unique de StorageGRID, localisez le lien dans le message en mode Sandbox.
L'URL est dérivée de la valeur que vous avez saisie dans le champ Nom du service de fédération.
-
Sélectionnez le lien ou copiez-collez l'URL dans un navigateur pour accéder à la page de connexion de votre fournisseur d'identités.
-
Pour confirmer que vous pouvez utiliser l'authentification SSO pour vous connecter à StorageGRID, sélectionnez connexion à l'un des sites suivants, sélectionnez l'identifiant de partie de confiance pour votre nœud d'administration principal et sélectionnez connexion.
-
Entrez votre nom d'utilisateur et votre mot de passe fédérés.
-
Si les opérations de connexion SSO et de déconnexion ont réussi, un message de réussite s'affiche.
-
Si l'opération SSO échoue, un message d'erreur s'affiche. Corrigez le problème, effacez les cookies du navigateur et réessayez.
-
-
Répétez ces étapes pour vérifier la connexion SSO pour chaque nœud d'administration de votre grille.
-
Accédez à la page d'identification unique sur le portail Azure.
-
Sélectionnez Tester cette application.
-
Entrez les informations d'identification d'un utilisateur fédéré.
-
Si les opérations de connexion SSO et de déconnexion ont réussi, un message de réussite s'affiche.
-
Si l'opération SSO échoue, un message d'erreur s'affiche. Corrigez le problème, effacez les cookies du navigateur et réessayez.
-
-
Répétez ces étapes pour vérifier la connexion SSO pour chaque nœud d'administration de votre grille.
-
Sur la page d'ouverture de session unique de StorageGRID, sélectionnez le premier lien dans le message en mode Sandbox.
Sélectionnez et testez un lien à la fois.
-
Entrez les informations d'identification d'un utilisateur fédéré.
-
Si les opérations de connexion SSO et de déconnexion ont réussi, un message de réussite s'affiche.
-
Si l'opération SSO échoue, un message d'erreur s'affiche. Corrigez le problème, effacez les cookies du navigateur et réessayez.
-
-
Cliquez sur le lien suivant pour vérifier la connexion SSO pour chaque nœud d'administration de votre grille.
Si un message page expirée s'affiche, sélectionnez le bouton Retour dans votre navigateur et soumettez à nouveau vos informations d'identification.
Activez l'authentification unique
Une fois que vous avez confirmé que vous pouvez utiliser la fonctionnalité SSO pour vous connecter à chaque nœud d'administration, vous pouvez activer cette fonctionnalité pour l'ensemble du système StorageGRID.
Lorsque l'authentification SSO est activée, tous les utilisateurs doivent utiliser l'authentification SSO pour accéder au Grid Manager, au tenant Manager, à l'API Grid Management et à l'API tenant Management. Les utilisateurs locaux ne peuvent plus accéder à StorageGRID. |
-
Sélectionnez CONFIGURATION > contrôle d'accès > connexion unique.
-
Définissez l'état SSO sur activé.
-
Sélectionnez Enregistrer.
-
Vérifiez le message d'avertissement et sélectionnez OK.
L'authentification unique est désormais activée.
Si vous utilisez le portail Azure et que vous accédez à StorageGRID à partir du même ordinateur que celui que vous utilisez pour accéder à Azure, assurez-vous que l'utilisateur du portail Azure est également un utilisateur StorageGRID autorisé (utilisateur d'un groupe fédéré importé dans StorageGRID) Ou déconnectez-vous du portail Azure avant de tenter de vous connecter à StorageGRID. |