Exigences et considérations relatives à l'authentification unique (SSO)
Suggérer des modifications
PDF
Avant d'activer la signature unique (SSO) pour un système StorageGRID, consultez les conditions requises et les considérations à prendre en compte.
Exigences du fournisseur d'identités
StorageGRID prend en charge les fournisseurs d'identités SSO suivants :
-
Service de fédération Active Directory (AD FS)
-
Identifiant Microsoft Entra
-
PingFederate
Vous devez configurer la fédération des identités de votre système StorageGRID avant de pouvoir configurer un fournisseur d'identités SSO. Le type de service LDAP que vous utilisez pour la fédération des identités contrôle le type de SSO que vous pouvez implémenter.
| Type de service LDAP configuré | Options pour le fournisseur d'identité SSO |
|---|---|
Active Directory |
|
ID d'entrée |
ID d'entrée |
Exigences AD FS
Vous pouvez utiliser l'une des versions suivantes d'AD FS :
-
Système de fichiers AD Windows Server 2022
-
Système de fichiers AD Windows Server 2019
-
Système de fichiers AD Windows Server 2016
|
Windows Server 2016 doit utiliser le "Mise à jour KB3201845" ou une version ultérieure. |
Supplémentaires requise
-
TLS (transport Layer Security) 1.2 ou 1.3
-
Microsoft .NET Framework, version 3.5.1 ou supérieure
Considérations pour Entra ID
Si vous utilisez Entra ID comme type SSO et que les utilisateurs ont des noms d'utilisateur principaux qui n'utilisent pas sAMAccountName comme préfixe, des problèmes de connexion peuvent survenir si StorageGRID perd sa connexion avec le serveur LDAP. Pour permettre aux utilisateurs de se connecter, vous devez restaurer la connexion au serveur LDAP.
Configuration requise pour le certificat de serveur
Par défaut, StorageGRID utilise un certificat d'interface de gestion sur chaque nœud d'administration pour sécuriser l'accès au gestionnaire de grille, au gestionnaire de locataires, à l'API de gestion de grille et à l'API de gestion de locataires. Lorsque vous configurez des approbations de parties de confiance (AD FS), des applications d'entreprise (Entra ID) ou des connexions de fournisseurs de services (PingFederate) pour StorageGRID, vous utilisez le certificat du serveur comme certificat de signature pour les demandes StorageGRID .
Si vous ne l'avez pas déjà "configuré un certificat personnalisé pour l'interface de gestion"fait, vous devriez le faire maintenant. Lorsque vous installez un certificat de serveur personnalisé, il est utilisé pour tous les nœuds d'administration et vous pouvez l'utiliser dans toutes les approbations de tiers StorageGRID, les applications d'entreprise ou les connexions SP.
|
|
Il n'est pas recommandé d'utiliser le certificat de serveur par défaut d'un nœud d'administration dans une connexion de confiance, d'une application d'entreprise ou d'un SP. Si le nœud échoue et que vous le récupérez, un nouveau certificat de serveur par défaut est généré. Avant de pouvoir vous connecter au nœud restauré, vous devez mettre à jour la confiance de la partie utilisatrices, l'application d'entreprise ou la connexion SP avec le nouveau certificat. |
Vous pouvez accéder au certificat de serveur d'un nœud d'administration en vous connectant au shell de commande du nœud et en allant dans le /var/local/mgmt-api répertoire. Un certificat de serveur personnalisé est nommé custom-server.crt. Le certificat de serveur par défaut du nœud est nommé server.crt.
Configuration requise pour les ports
L'authentification unique (SSO) n'est pas disponible sur les ports du gestionnaire de grille restreinte ou du gestionnaire de locataires. Vous devez utiliser le port HTTPS par défaut (443) si vous souhaitez que les utilisateurs s'authentifient avec une connexion unique. Voir "Contrôler l'accès au niveau du pare-feu externe".