Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Utiliser la fédération d'identité

PDF

L’utilisation de la fédération d’identité accélère la configuration des groupes de locataires et des utilisateurs et permet aux utilisateurs locataires de se connecter au compte locataire à l’aide d’informations d’identification familières.

Configurer la fédération d'identité pour Tenant Manager

Vous pouvez configurer la fédération d’identité pour Tenant Manager si vous souhaitez que les groupes de locataires et les utilisateurs soient gérés dans un autre système tel qu’Active Directory, Azure Active Directory (Azure AD), OpenLDAP ou Oracle Directory Server.

Avant de commencer
À propos de cette tâche

La possibilité de configurer un service de fédération d'identité pour votre locataire dépend de la façon dont votre compte de locataire a été configuré. Votre locataire peut partager le service de fédération d’identité qui a été configuré pour Grid Manager. Si vous voyez ce message lorsque vous accédez à la page Fédération d’identité, vous ne pouvez pas configurer une source d’identité fédérée distincte pour ce locataire.

Fédération des identités partagées par les locataires

Entrer la configuration

Lorsque vous configurez l'identification de la fédération, vous fournissez les valeurs dont StorageGRID a besoin pour se connecter à un service LDAP.

Étapes

  1. Sélectionnez GESTION DES ACCÈS > Fédération d'identité.

  2. Sélectionnez Activer la fédération d'identité.

  3. Dans la section Type de service LDAP, sélectionnez le type de service LDAP que vous souhaitez configurer.

    Page de fédération d'identité affichant les options de type de service LDAP

    Sélectionnez Autre pour configurer les valeurs d’un serveur LDAP qui utilise Oracle Directory Server.

  4. Si vous avez sélectionné Autre, remplissez les champs de la section Attributs LDAP. , passez à l’étape suivante.

    • Nom unique de l'utilisateur : le nom de l'attribut qui contient l'identifiant unique d'un utilisateur LDAP. Cet attribut est équivalent à sAMAccountName pour Active Directory et uid pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez uid .

    • UUID utilisateur : le nom de l'attribut qui contient l'identifiant unique permanent d'un utilisateur LDAP. Cet attribut est équivalent à objectGUID pour Active Directory et entryUUID pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez nsuniqueid . La valeur de chaque utilisateur pour l'attribut spécifié doit être un nombre hexadécimal à 32 chiffres au format 16 octets ou chaîne, où les tirets sont ignorés.

    • Nom unique du groupe : le nom de l'attribut qui contient l'identifiant unique d'un groupe LDAP. Cet attribut est équivalent à sAMAccountName pour Active Directory et cn pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez cn .

    • UUID de groupe : le nom de l'attribut qui contient l'identifiant unique permanent d'un groupe LDAP. Cet attribut est équivalent à objectGUID pour Active Directory et entryUUID pour OpenLDAP. Si vous configurez Oracle Directory Server, entrez nsuniqueid . La valeur de chaque groupe pour l'attribut spécifié doit être un nombre hexadécimal à 32 chiffres au format 16 octets ou chaîne, où les tirets sont ignorés.

  5. Pour tous les types de services LDAP, saisissez les informations de serveur LDAP et de connexion réseau requises dans la section Configurer le serveur LDAP.

    • Nom d'hôte : le nom de domaine complet (FQDN) ou l'adresse IP du serveur LDAP.

    • Port : Le port utilisé pour se connecter au serveur LDAP.

      Remarque Le port par défaut pour STARTTLS est 389 et le port par défaut pour LDAPS est 636. Cependant, vous pouvez utiliser n’importe quel port à condition que votre pare-feu soit correctement configuré.

    • Nom d'utilisateur : le chemin complet du nom distinctif (DN) de l'utilisateur qui se connectera au serveur LDAP.

      Pour Active Directory, vous pouvez également spécifier le nom de connexion de niveau inférieur ou le nom d'utilisateur principal.

      L'utilisateur spécifié doit avoir l'autorisation de répertorier les groupes et les utilisateurs et d'accéder aux attributs suivants :

      • sAMAccountName`ou `uid

      • objectGUID, entryUUID , ou nsuniqueid

      • cn

      • memberOf`ou `isMemberOf

      • Active Directory: objectSid , primaryGroupID , userAccountControl , et userPrincipalName

      • Azuré: accountEnabled et userPrincipalName

    • Mot de passe : Le mot de passe associé au nom d'utilisateur.

      Remarque Si vous modifiez le mot de passe à l'avenir, vous devez le mettre à jour sur cette page.

    • DN de base du groupe : le chemin complet du nom distinctif (DN) d'une sous-arborescence LDAP dans laquelle vous souhaitez rechercher des groupes. Dans l'exemple Active Directory (ci-dessous), tous les groupes dont le nom unique est relatif au DN de base (DC=storagegrid,DC=example,DC=com) peuvent être utilisés comme groupes fédérés.

      Remarque Les valeurs Nom unique du groupe doivent être uniques dans le DN de base du groupe auquel elles appartiennent.

    • DN de base utilisateur : le chemin complet du nom distinctif (DN) d'une sous-arborescence LDAP dans laquelle vous souhaitez rechercher des utilisateurs.

      Remarque Les valeurs Nom unique de l'utilisateur doivent être uniques dans le DN de base de l'utilisateur auquel elles appartiennent.

    • * Format de nom d'utilisateur de liaison * (facultatif) : le modèle de nom d'utilisateur par défaut que StorageGRID doit utiliser si le modèle ne peut pas être déterminé automatiquement.

      Il est recommandé de fournir le format de nom d'utilisateur de liaison car il peut permettre aux utilisateurs de se connecter si StorageGRID ne parvient pas à se lier au compte de service.

      Saisissez l’un de ces modèles :

      • Modèle UserPrincipalName (Active Directory et Azure): [USERNAME]@example.com

      • Modèle de nom de connexion de niveau inférieur (Active Directory et Azure): example\[USERNAME]

      • Modèle de nom distinctif: CN=[USERNAME],CN=Users,DC=example,DC=com

        Incluez [USERNAME] exactement comme écrit.

  6. Dans la section Sécurité de la couche de transport (TLS), sélectionnez un paramètre de sécurité.

    • Utiliser STARTTLS : Utilisez STARTTLS pour sécuriser les communications avec le serveur LDAP. Il s’agit de l’option recommandée pour Active Directory, OpenLDAP ou Autre, mais cette option n’est pas prise en charge pour Azure.

    • Utiliser LDAPS : L'option LDAPS (LDAP sur SSL) utilise TLS pour établir une connexion au serveur LDAP. Vous devez sélectionner cette option pour Azure.

    • N'utilisez pas TLS : le trafic réseau entre le système StorageGRID et le serveur LDAP ne sera pas sécurisé. Cette option n’est pas prise en charge pour Azure.

      Remarque L'utilisation de l'option Ne pas utiliser TLS n'est pas prise en charge si votre serveur Active Directory applique la signature LDAP. Vous devez utiliser STARTTLS ou LDAPS.

  7. Si vous avez sélectionné STARTTLS ou LDAPS, choisissez le certificat utilisé pour sécuriser la connexion.

    • Utiliser le certificat CA du système d'exploitation : utilisez le certificat CA Grid par défaut installé sur le système d'exploitation pour sécuriser les connexions.

    • Utiliser un certificat CA personnalisé : utilisez un certificat de sécurité personnalisé.

      Si vous sélectionnez ce paramètre, copiez et collez le certificat de sécurité personnalisé dans la zone de texte Certificat CA.

Tester la connexion et enregistrer la configuration

Après avoir saisi toutes les valeurs, vous devez tester la connexion avant de pouvoir enregistrer la configuration. StorageGRID vérifie les paramètres de connexion pour le serveur LDAP et le format du nom d'utilisateur de liaison, si vous en avez fourni un.

Étapes

  1. Sélectionnez Tester la connexion.

  2. Si vous n’avez pas fourni de format de nom d’utilisateur de liaison :

    • Un message « Test de connexion réussi » s'affiche si les paramètres de connexion sont valides. Sélectionnez Enregistrer pour enregistrer la configuration.

    • Un message « La connexion de test n'a pas pu être établie » s'affiche si les paramètres de connexion ne sont pas valides. Sélectionnez Fermer. Ensuite, résolvez tous les problèmes et testez à nouveau la connexion.

  3. Si vous avez fourni un format de nom d'utilisateur de liaison, saisissez le nom d'utilisateur et le mot de passe d'un utilisateur fédéré valide.

    Par exemple, entrez votre propre nom d’utilisateur et votre mot de passe. N'incluez aucun caractère spécial dans le nom d'utilisateur, tel que @ ou /.

    Invite de fédération d'identité pour valider le format du nom d'utilisateur de liaison

    • Un message « Test de connexion réussi » s'affiche si les paramètres de connexion sont valides. Sélectionnez Enregistrer pour enregistrer la configuration.

    • Un message d'erreur s'affiche si les paramètres de connexion, le format du nom d'utilisateur de liaison ou le nom d'utilisateur et le mot de passe de test ne sont pas valides. Résolvez tous les problèmes et testez à nouveau la connexion.

Forcer la synchronisation avec la source d'identité

Le système StorageGRID synchronise périodiquement les groupes fédérés et les utilisateurs à partir de la source d'identité. Vous pouvez forcer le démarrage de la synchronisation si vous souhaitez activer ou restreindre les autorisations des utilisateurs le plus rapidement possible.

Étapes

  1. Accédez à la page Fédération d'identité.

  2. Sélectionnez Serveur de synchronisation en haut de la page.

    Le processus de synchronisation peut prendre un certain temps en fonction de votre environnement.

    Remarque L'alerte Échec de la synchronisation de la fédération d'identité est déclenchée s'il y a un problème de synchronisation des groupes fédérés et des utilisateurs à partir de la source d'identité.

Désactiver la fédération d'identité

Vous pouvez désactiver temporairement ou définitivement la fédération d’identité pour les groupes et les utilisateurs. Lorsque la fédération d’identité est désactivée, il n’y a aucune communication entre StorageGRID et la source d’identité. Cependant, tous les paramètres que vous avez configurés sont conservés, ce qui vous permet de réactiver facilement la fédération d’identité à l’avenir.

À propos de cette tâche

Avant de désactiver la fédération d’identité, vous devez tenir compte des points suivants :

  • Les utilisateurs fédérés ne pourront pas se connecter.

  • Les utilisateurs fédérés actuellement connectés conserveront l'accès au système StorageGRID jusqu'à l'expiration de leur session, mais ils ne pourront pas se connecter après l'expiration de leur session.

  • La synchronisation entre le système StorageGRID et la source d'identité n'aura pas lieu et les alertes ne seront pas générées pour les comptes qui n'ont pas été synchronisés.

  • La case à cocher Activer la fédération d'identité est désactivée si l'authentification unique (SSO) est définie sur Activé ou Mode Sandbox. Le statut SSO sur la page d'authentification unique doit être Désactivé avant de pouvoir désactiver la fédération d'identité. Voir "Désactiver l'authentification unique" .

Étapes

  1. Accédez à la page Fédération d'identité.

  2. Décochez la case Activer la fédération d'identité.

Directives pour la configuration du serveur OpenLDAP

Si vous souhaitez utiliser un serveur OpenLDAP pour la fédération d’identité, vous devez configurer des paramètres spécifiques sur le serveur OpenLDAP.

Avertissement Pour les sources d’identité qui ne sont pas ActiveDirectory ou Azure, StorageGRID ne bloquera pas automatiquement l’accès S3 aux utilisateurs désactivés en externe. Pour bloquer l’accès S3, supprimez toutes les clés S3 de l’utilisateur ou supprimez l’utilisateur de tous les groupes.

Superpositions Memberof et refint

Les superpositions memberof et refint doivent être activées. Pour plus d'informations, consultez les instructions relatives à la maintenance de l'appartenance à un groupe inversé dans lehttp://www.openldap.org/doc/admin24/index.html["Documentation OpenLDAP : Guide de l'administrateur version 2.4"^] .

Indexage

Vous devez configurer les attributs OpenLDAP suivants avec les mots-clés d’index spécifiés :

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

De plus, assurez-vous que les champs mentionnés dans l’aide pour le nom d’utilisateur sont indexés pour des performances optimales.

Consultez les informations sur la maintenance de l'appartenance à un groupe inversé dans lehttp://www.openldap.org/doc/admin24/index.html["Documentation OpenLDAP : Guide de l'administrateur version 2.4"^] .