Requisiti per l'utilizzo del single sign-on
Prima di attivare il Single Sign-on (SSO) per un sistema StorageGRID, esaminare i requisiti di questa sezione.
Requisiti del provider di identità
StorageGRID supporta i seguenti provider di identità SSO (IdP):
-
Active Directory Federation Service (ad FS)
-
Azure Active Directory (Azure ad)
-
PingFederate
È necessario configurare la federazione delle identità per il sistema StorageGRID prima di poter configurare un provider di identità SSO. Il tipo di servizio LDAP utilizzato per i controlli di federazione delle identità che consentono di implementare il tipo di SSO.
Tipo di servizio LDAP configurato | Opzioni per il provider di identità SSO |
---|---|
Active Directory |
|
Azure |
Azure |
Requisiti AD FS
È possibile utilizzare una delle seguenti versioni di ad FS:
-
Windows Server 2022 ad FS
-
Windows Server 2019 ad FS
-
Windows Server 2016 ad FS
Windows Server 2016 dovrebbe utilizzare "Aggiornamento KB3201845", o superiore. |
-
AD FS 3.0, incluso nell'aggiornamento di Windows Server 2012 R2 o superiore.
Requisiti aggiuntivi
-
Transport Layer Security (TLS) 1.2 o 1.3
-
Microsoft .NET Framework, versione 3.5.1 o successiva
Requisiti dei certificati del server
Per impostazione predefinita, StorageGRID utilizza un certificato di interfaccia di gestione su ciascun nodo di amministrazione per garantire l'accesso al gestore di griglia, al gestore del tenant, all'API di gestione del grid e all'API di gestione del tenant. Quando si configurano i trust delle parti di base (ad FS), le applicazioni aziendali (Azure) o le connessioni del provider di servizi (PingFederate) per StorageGRID, il certificato del server viene utilizzato come certificato di firma per le richieste StorageGRID.
Se non lo hai già fatto ha configurato un certificato personalizzato per l'interfaccia di gestione, dovresti farlo ora. Quando si installa un certificato server personalizzato, viene utilizzato per tutti i nodi di amministrazione e può essere utilizzato in tutti i trust, le applicazioni aziendali o le connessioni SP di StorageGRID.
Si sconsiglia di utilizzare il certificato server predefinito di un nodo di amministrazione in una connessione SP, un'applicazione aziendale o un trust di parte attiva. Se il nodo si guasta e viene ripristinato, viene generato un nuovo certificato server predefinito. Prima di poter accedere al nodo recuperato, è necessario aggiornare il trust della parte che si basa, l'applicazione aziendale o la connessione SP con il nuovo certificato. |
È possibile accedere al certificato del server di un nodo amministratore accedendo alla shell dei comandi del nodo e accedendo a. /var/local/mgmt-api
directory. Viene assegnato un nome a un certificato server personalizzato custom-server.crt
. Il certificato server predefinito del nodo viene denominato server.crt
.
Requisiti delle porte
Single Sign-on (SSO) non è disponibile sulle porte limitate di Grid Manager o Tenant Manager. Se si desidera che gli utenti eseguano l'autenticazione con Single Sign-on, è necessario utilizzare la porta HTTPS predefinita (443). Vedere Controllo dell'accesso tramite firewall.