Skip to main content
SnapCenter software
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire l'autenticazione a più fattori (MFA)

PDF

È possibile gestire la funzionalità di autenticazione a più fattori (MFA) nel server Active Directory Federation Service (AD FS) e nel server SnapCenter .

Abilita l'autenticazione a più fattori (MFA)

È possibile abilitare la funzionalità MFA per SnapCenter Server utilizzando i comandi di PowerShell.

Informazioni su questo compito

  • SnapCenter supporta gli accessi basati su SSO quando altre applicazioni sono configurate nello stesso AD FS. In alcune configurazioni di AD FS, SnapCenter potrebbe richiedere l'autenticazione dell'utente per motivi di sicurezza, a seconda della persistenza della sessione AD FS.

  • Le informazioni riguardanti i parametri che possono essere utilizzati con il cmdlet e le relative descrizioni possono essere ottenute eseguendo Get-Help command_name . In alternativa, puoi anche vedere "Guida di riferimento ai cmdlet del software SnapCenter" .

Prima di iniziare

  • Windows Active Directory Federation Service (AD FS) deve essere attivo e funzionante nel rispettivo dominio.

  • Dovresti disporre di un servizio di autenticazione a più fattori supportato da AD FS, come Azure MFA, Cisco Duo e così via.

  • Il timestamp SnapCenter e del server AD FS deve essere lo stesso, indipendentemente dal fuso orario.

  • Ottenere e configurare il certificato CA autorizzato per SnapCenter Server.

    Il certificato CA è obbligatorio per i seguenti motivi:

    • Garantisce che le comunicazioni ADFS-F5 non vengano interrotte perché i certificati autofirmati sono univoci a livello di nodo.

    • Garantisce che durante l'aggiornamento, la riparazione o il ripristino di emergenza (DR) in una configurazione autonoma o ad alta disponibilità, il certificato autofirmato non venga ricreato, evitando così la riconfigurazione MFA.

    • Garantisce le risoluzioni IP-FQDN.

      Per informazioni sul certificato CA, vedere"Genera file CSR del certificato CA" .

Passi

  1. Connettersi all'host Active Directory Federation Services (AD FS).

  2. Scarica il file dei metadati della federazione AD FS da"https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml".

  3. Copiare il file scaricato su SnapCenter Server per abilitare la funzionalità MFA.

  4. Accedere a SnapCenter Server come utente amministratore SnapCenter tramite PowerShell.

  5. Utilizzando la sessione di PowerShell, generare il file di metadati SnapCenter MFA utilizzando il cmdlet New-SmMultifactorAuthenticationMetadata -path.

    Il parametro path specifica il percorso in cui salvare il file di metadati MFA nell'host del server SnapCenter .

  6. Copiare il file generato nell'host AD FS per configurare SnapCenter come entità client.

  7. Abilita MFA per SnapCenter Server utilizzando Set-SmMultiFactorAuthentication cmdlet.

  8. (Facoltativo) Controllare lo stato e le impostazioni della configurazione MFA utilizzando Get-SmMultiFactorAuthentication cmdlet.

  9. Accedere alla console di gestione Microsoft (MMC) ed eseguire i seguenti passaggi:

    1. Fare clic su File > Aggiungi/Rimuovi snap-in.

    2. Nella finestra Aggiungi o rimuovi snap-in, seleziona Certificati e poi fai clic su Aggiungi.

    3. Nella finestra snap-in Certificati, selezionare l'opzione Account computer, quindi fare clic su Fine.

    4. Fare clic su Console Root > Certificati – Computer locale > Personale > Certificati.

    5. Fare clic con il pulsante destro del mouse sul certificato CA associato a SnapCenter , quindi selezionare Tutte le attività > Gestisci chiavi private.

    6. Nella procedura guidata per le autorizzazioni, eseguire i seguenti passaggi:

      1. Fare clic su Aggiungi.

      2. Fare clic su Posizioni e selezionare l'host interessato (in cima alla gerarchia).

      3. Fare clic su OK nella finestra pop-up Posizioni.

      4. Nel campo del nome dell'oggetto, immettere 'IIS_IUSRS' e fare clic su Controlla nomi, quindi fare clic su OK.

        Se il controllo ha esito positivo, fare clic su OK.

  10. Nell'host AD FS, aprire la procedura guidata di gestione AD FS ed eseguire i seguenti passaggi:

    1. Fare clic con il pulsante destro del mouse su Trust della parte affidabile > Aggiungi trust della parte affidabile > Avvia.

    2. Selezionare la seconda opzione, sfogliare il file dei metadati SnapCenter MFA e fare clic su Avanti.

    3. Specificare un nome visualizzato e fare clic su Avanti.

    4. Selezionare una policy di controllo degli accessi in base alle proprie esigenze e fare clic su Avanti.

    5. Selezionare le impostazioni predefinite nella scheda successiva.

    6. Fare clic su Fine.

      SnapCenter viene ora visualizzato come relying party con il nome visualizzato fornito.

  11. Selezionare il nome ed eseguire i seguenti passaggi:

    1. Fare clic su Modifica politica di emissione reclami.

    2. Fare clic su Aggiungi regola e quindi su Avanti.

    3. Specificare un nome per la regola di rivendicazione.

    4. Selezionare Active Directory come archivio attributi.

    5. Selezionare l'attributo come User-Principal-Name e il tipo di claim in uscita come Name-ID.

    6. Fare clic su Fine.

  12. Eseguire i seguenti comandi PowerShell sul server ADFS.

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. Per confermare che i metadati siano stati importati correttamente, procedere come segue.

    1. Fare clic con il pulsante destro del mouse sul trust della parte affidabile e selezionare Proprietà.

    2. Assicurarsi che i campi Endpoint, Identificatori e Firma siano compilati.

  14. Chiudere tutte le schede del browser e riaprire il browser per cancellare i cookie di sessione esistenti o attivi, quindi effettuare nuovamente l'accesso.

La funzionalità SnapCenter MFA può essere abilitata anche tramite API REST.

Per informazioni sulla risoluzione dei problemi, vedere "I tentativi di accesso simultanei in più schede mostrano un errore MFA" .

Aggiorna i metadati AD FS MFA

È necessario aggiornare i metadati AD FS MFA in SnapCenter ogni volta che si verifica una modifica nel server AD FS, ad esempio un aggiornamento, un rinnovo del certificato CA, un ripristino di emergenza e così via.

Passi

  1. Scarica il file dei metadati della federazione AD FS da"https://<host Nome di dominio completo>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Copiare il file scaricato su SnapCenter Server per aggiornare la configurazione MFA.

  3. Aggiornare i metadati AD FS in SnapCenter eseguendo il seguente cmdlet:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. Chiudere tutte le schede del browser e riaprire il browser per cancellare i cookie di sessione esistenti o attivi, quindi effettuare nuovamente l'accesso.

Aggiorna i metadati SnapCenter MFA

È necessario aggiornare i metadati SnapCenter MFA in AD FS ogni volta che si verifica una modifica nel server ADFS, ad esempio riparazione, rinnovo del certificato CA, DR e così via.

Passi

  1. Nell'host AD FS, aprire la procedura guidata di gestione AD FS ed eseguire i seguenti passaggi:

    1. Selezionare Trust della parte affidante.

    2. Fare clic con il pulsante destro del mouse sul trust della relying party creato per SnapCenter e selezionare Elimina.

      Verrà visualizzato il nome definito dall'utente del trust della parte affidabile.

    3. Abilita l'autenticazione a più fattori (MFA).

      Vedere "Abilita l'autenticazione a più fattori" .

  2. Chiudere tutte le schede del browser e riaprire il browser per cancellare i cookie di sessione esistenti o attivi, quindi effettuare nuovamente l'accesso.

Disabilitare l'autenticazione a più fattori (MFA)

Passi

  1. Disabilitare MFA e pulire i file di configurazione creati quando MFA è stato abilitato utilizzando Set-SmMultiFactorAuthentication cmdlet.

  2. Chiudere tutte le schede del browser e riaprire il browser per cancellare i cookie di sessione esistenti o attivi, quindi effettuare nuovamente l'accesso.