Requisiti per l'utilizzo del single sign-on
Prima di attivare il Single Sign-on (SSO) per un sistema StorageGRID, esaminare i requisiti di questa sezione.
Single Sign-on (SSO) non è disponibile sulle porte limitate di Grid Manager o Tenant Manager. Se si desidera che gli utenti eseguano l'autenticazione con Single Sign-on, è necessario utilizzare la porta HTTPS predefinita (443). |
Requisiti del provider di identità
Il provider di identità (IdP) per SSO deve soddisfare i seguenti requisiti:
-
Una delle seguenti versioni di Active Directory Federation Service (ad FS):
-
AD FS 4.0, incluso in Windows Server 2016
Windows Server 2016 dovrebbe utilizzare "Aggiornamento KB3201845", o superiore. -
AD FS 3.0, incluso nell'aggiornamento di Windows Server 2012 R2 o superiore.
-
-
Transport Layer Security (TLS) 1.2 o 1.3
-
Microsoft .NET Framework, versione 3.5.1 o successiva
Requisiti dei certificati del server
StorageGRID utilizza un certificato del server di interfaccia di gestione su ciascun nodo di amministrazione per garantire l'accesso al gestore di griglia, al gestore del tenant, all'API di gestione del grid e all'API di gestione del tenant. Quando si configurano i trust delle parti di supporto SSO per StorageGRID in ad FS, il certificato del server viene utilizzato come certificato di firma per le richieste StorageGRID ad FS.
Se non è già stato installato un certificato server personalizzato per l'interfaccia di gestione, è necessario farlo ora. Quando si installa un certificato server personalizzato, viene utilizzato per tutti i nodi di amministrazione ed è possibile utilizzarlo in tutti i trust di StorageGRID.
Si sconsiglia di utilizzare il certificato server predefinito di un nodo di amministrazione nell'attendibilità della parte di base di ad FS. Se il nodo si guasta e viene ripristinato, viene generato un nuovo certificato server predefinito. Prima di poter accedere al nodo recuperato, è necessario aggiornare il trust della parte che si basa in ad FS con il nuovo certificato. |
È possibile accedere al certificato del server di un nodo amministratore accedendo alla shell dei comandi del nodo e accedendo a. /var/local/mgmt-api
directory. Viene assegnato un nome a un certificato server personalizzato custom-server.crt
. Il certificato server predefinito del nodo viene denominato server.crt
.