Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Attiva autenticazione a più fattori (MFA)

Collaboratori

Per attivare la funzionalità MFA, è necessario eseguire alcuni passaggi nel server del servizio di federazione Active Directory (ad FS) e nel server SnapCenter.

Cosa ti serve

  • Windows Active Directory Federation Service (ad FS) deve essere attivo e in esecuzione nel rispettivo dominio.

  • È necessario disporre di servizi di autenticazione multifattore supportati da ad FS, come Azure MFA, Cisco Duo e così via.

  • L'indicatore di data e ora del server SnapCenter e ad FS deve essere lo stesso indipendentemente dal fuso orario.

  • Procurarsi e configurare il certificato CA autorizzato per il server SnapCenter.

    Il certificato CA è obbligatorio per i seguenti motivi:

    • Garantisce che le comunicazioni ADFS-F5 non si interrangano perché i certificati autofirmati sono univoci a livello di nodo.

    • Garantisce che durante l'upgrade, la riparazione o il disaster recovery (DR) in una configurazione standalone o ad alta disponibilità, il certificato autofirmato non venga ricreato, evitando così la riconfigurazione MFA.

    • Garantisce risoluzioni IP-FQDN.

      Per informazioni sul certificato CA, vedere "Generare il file CSR del certificato CA".

A proposito di questa attività

  • SnapCenter supporta gli accessi basati su SSO quando altre applicazioni sono configurate nello stesso ad FS. In alcune configurazioni di ad FS, SnapCenter potrebbe richiedere l'autenticazione dell'utente per motivi di sicurezza, a seconda della persistenza della sessione di ad FS.

  • Le informazioni relative ai parametri che possono essere utilizzati con il cmdlet e le relative descrizioni possono essere ottenute eseguendo Get-Help command_name. In alternativa, fare riferimento alla "Guida di riferimento al cmdlet del software SnapCenter".

Fasi

  1. Connettersi all'host Active Directory Federation Services (ad FS).

  2. Scaricare il file di metadati della federazione ad FS da "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"

  3. Copiare il file scaricato sul server SnapCenter per attivare la funzione MFA.

  4. Accedere al server SnapCenter come utente amministratore di SnapCenter tramite PowerShell.

  5. Utilizzando la sessione PowerShell, generare il file di metadati MFA di SnapCenter utilizzando il cmdlet New-SmMultifactorAuthenticationMetadata -path.

    Il parametro path specifica il percorso per salvare il file di metadati MFA nell'host del server SnapCenter.

  6. Copiare il file generato nell'host ad FS per configurare SnapCenter come entità client.

  7. Abilitare MFA per il server SnapCenter utilizzando il cmdlet Set-SmMultiFactorAuthentication -Enable -Path.

    Il parametro path specifica la posizione del file xml di metadati MFA di ad FS, che è stato copiato nel server SnapCenter nel passaggio 3.

  8. (Facoltativo) controllare lo stato e le impostazioni della configurazione MFA utilizzando il cmdlet Get-SmMultiFactorAuthentication.

  9. Accedere alla console di gestione Microsoft (MMC) ed effettuare le seguenti operazioni:

    1. Fare clic su file > Aggiungi/Rimuovi Snapin.

    2. Nella finestra Aggiungi o Rimuovi snap-in, selezionare certificati, quindi fare clic su Aggiungi.

    3. Nella finestra dello snap-in certificati, selezionare l'opzione account computer, quindi fare clic su fine.

    4. Fare clic su Directory principale console > certificati – computer locale > personale > certificati.

    5. Fare clic con il pulsante destro del mouse sul certificato CA associato a SnapCenter, quindi selezionare tutte le attività > Gestisci chiavi private.

    6. Nella procedura guidata delle autorizzazioni, attenersi alla seguente procedura:

      1. Fare clic su Aggiungi

      2. Fare clic su Locations (posizioni) e selezionare l'host desiderato (in cima alla gerarchia)

      3. Fare clic su OK nella finestra a comparsa Locations.

      4. Nel campo Object name (Nome oggetto), immettere ‘IIS_IUSRS’, fare clic su Check Names (Controlla nomi) e fare clic su OK.

        Se il controllo ha esito positivo, fare clic su OK.

  10. Nell'host ad FS, aprire la procedura guidata di gestione di ad FS ed eseguire le seguenti operazioni:

    1. Fare clic con il pulsante destro del mouse su Trust di parte affidabile > Aggiungi Trust di parte affidabile > Start.

    2. Selezionare la seconda opzione, sfogliare il file di metadati MFA di SnapCenter e fare clic su Avanti.

    3. Specificare un nome visualizzato e fare clic su Avanti.

    4. Scegliere e accedere al criterio di controllo secondo necessità, quindi fare clic su Avanti.

    5. Impostare le impostazioni predefinite nella scheda successiva.

    6. Fare clic su fine.

      SnapCenter si riflette ora come parte di base con il nome visualizzato fornito.

  11. Selezionare il nome ed effettuare le seguenti operazioni:

    1. Fare clic su Edit Claim Issuance Policy (Modifica policy di emissione richieste

    2. Fare clic su Add Rule (Aggiungi regola) e fare clic su Next (Avanti).

    3. Specificare un nome per la regola di richiesta di rimborso

    4. Selezionare Active Directory come archivio di attributi.

    5. Selezionare l'attributo User-Principal-Name e il tipo di richiesta di rimborso in uscita come Name-ID.

    6. Fare clic su fine.

  12. Eseguire i seguenti comandi PowerShell sul server ADFS.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Attenersi alla seguente procedura per confermare che i metadati sono stati importati correttamente.

    1. Fare clic con il pulsante destro del mouse sul trust della parte che si basa e selezionare Proprietà.

    2. Assicurarsi che i campi Endpoint, Identifier e Firma siano compilati.

La funzionalità MFA di SnapCenter può anche essere attivata utilizzando API REST.

Al termine

Dopo aver attivato, aggiornato o disattivato le impostazioni MFA in SnapCenter, chiudere tutte le schede del browser e riaprire un browser per effettuare nuovamente l'accesso. In questo modo, i cookie di sessione esistenti o attivi verranno deselezionati.

Per informazioni sulla risoluzione dei problemi, fare riferimento a. "I tentativi di accesso simultanei in più schede mostrano un errore MFA".

Aggiornare i metadati di ad FS MFA

È necessario aggiornare i metadati MFA di ad FS in SnapCenter ogni volta che si verifica una modifica nel server di ad FS, ad esempio aggiornamento, rinnovo del certificato CA, DR e così via.

Fasi

  1. Scaricare il file di metadati della federazione ad FS da "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Copiare il file scaricato sul server SnapCenter per aggiornare la configurazione MFA.

  3. Aggiornare i metadati di ad FS in SnapCenter eseguendo il seguente cmdlet:

    Set-SmMultiFactorAuthentication -percorso <location of ADFS MFA metadata xml file>

Al termine

Dopo aver attivato, aggiornato o disattivato le impostazioni MFA in SnapCenter, chiudere tutte le schede del browser e riaprire un browser per effettuare nuovamente l'accesso. In questo modo, i cookie di sessione esistenti o attivi verranno deselezionati.

Aggiornare i metadati MFA di SnapCenter

È necessario aggiornare i metadati MFA di SnapCenter in ad FS ogni volta che si verifica una modifica nel server ADFS, ad esempio riparazione, rinnovo del certificato CA, DR e così via.

Fasi

  1. Nell'host ad FS, aprire la procedura guidata di gestione di ad FS ed eseguire le seguenti operazioni:

    1. Fare clic su Trust di parte.

    2. Fare clic con il pulsante destro del mouse sul trust della parte di base creato per SnapCenter e fare clic su Elimina.

      Viene visualizzato il nome definito dall'utente del trust della parte che si basa.

    3. Attivare l'autenticazione a più fattori (MFA).

Al termine

Dopo aver attivato, aggiornato o disattivato le impostazioni MFA in SnapCenter, chiudere tutte le schede del browser e riaprire un browser per effettuare nuovamente l'accesso. In questo modo, i cookie di sessione esistenti o attivi verranno deselezionati.

Disattiva autenticazione a più fattori (MFA)

Disattivare MFA e pulire i file di configurazione creati quando MFA è stato attivato utilizzando set-SmMultiFactorAuthentication -Disable cmdlet.

Al termine

Dopo aver attivato, aggiornato o disattivato le impostazioni MFA in SnapCenter, chiudere tutte le schede del browser e riaprire un browser per effettuare nuovamente l'accesso. In questo modo, i cookie di sessione esistenti o attivi verranno deselezionati.