Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

USA la federazione delle identità

Collaboratori

L'utilizzo della federazione delle identità rende più rapida la configurazione di gruppi e utenti tenant e consente agli utenti tenant di accedere all'account tenant utilizzando credenziali familiari.

Configurare la federazione delle identità per Tenant Manager

È possibile configurare la federazione delle identità per il tenant Manager se si desidera che i gruppi e gli utenti tenant vengano gestiti in un altro sistema, ad esempio Active Directory, Azure Active Directory (Azure ad), OpenLDAP o Oracle Directory Server.

Prima di iniziare
A proposito di questa attività

La possibilità di configurare un servizio di federazione delle identità per il tenant dipende dalla configurazione dell'account tenant. Il tenant potrebbe condividere il servizio di federazione delle identità configurato per Grid Manager. Se viene visualizzato questo messaggio quando si accede alla pagina Identity Federation, non è possibile configurare un'origine di identità federata separata per questo tenant.

Il tenant condivide Identity Federation

Inserire la configurazione

Quando si configura Identify Federation, vengono forniti i valori necessari a StorageGRID per connettersi a un servizio LDAP.

Fasi
  1. Selezionare ACCESS MANAGEMENT > Identity Federation.

  2. Selezionare Enable Identity Federation (attiva federazione identità).

  3. Nella sezione tipo di servizio LDAP, selezionare il tipo di servizio LDAP che si desidera configurare.

    Pagina Identity Federation che mostra le opzioni relative al tipo di servizio LDAP

    Selezionare Altro per configurare i valori per un server LDAP che utilizza Oracle Directory Server.

  4. Se si seleziona Altro, completare i campi nella sezione attributi LDAP. In caso contrario, passare alla fase successiva.

    • User Unique Name (Nome univoco utente): Il nome dell'attributo che contiene l'identificatore univoco di un utente LDAP. Questo attributo è equivalente a. sAMAccountName Per Active Directory e. uid Per OpenLDAP. Se si sta configurando Oracle Directory Server, immettere uid.

    • UUID utente: Il nome dell'attributo che contiene l'identificatore univoco permanente di un utente LDAP. Questo attributo è equivalente a. objectGUID Per Active Directory e. entryUUID Per OpenLDAP. Se si sta configurando Oracle Directory Server, immettere nsuniqueid. Ogni valore dell'utente per l'attributo specificato deve essere un numero esadecimale a 32 cifre in formato a 16 byte o stringa, dove i trattini vengono ignorati.

    • Group Unique Name (Nome univoco gruppo): Il nome dell'attributo che contiene l'identificatore univoco di un gruppo LDAP. Questo attributo è equivalente a. sAMAccountName Per Active Directory e. cn Per OpenLDAP. Se si sta configurando Oracle Directory Server, immettere cn.

    • UUID gruppo: Il nome dell'attributo che contiene l'identificatore univoco permanente di un gruppo LDAP. Questo attributo è equivalente a. objectGUID Per Active Directory e. entryUUID Per OpenLDAP. Se si sta configurando Oracle Directory Server, immettere nsuniqueid. Il valore di ciascun gruppo per l'attributo specificato deve essere un numero esadecimale a 32 cifre nel formato a 16 byte o stringa, dove i trattini vengono ignorati.

  5. Per tutti i tipi di servizio LDAP, inserire le informazioni richieste relative al server LDAP e alla connessione di rete nella sezione Configura server LDAP.

    • Nome host: Il nome di dominio completo (FQDN) o l'indirizzo IP del server LDAP.

    • Port (porta): Porta utilizzata per la connessione al server LDAP.

      Nota La porta predefinita per STARTTLS è 389 e la porta predefinita per LDAPS è 636. Tuttavia, è possibile utilizzare qualsiasi porta purché il firewall sia configurato correttamente.
    • Username: Percorso completo del nome distinto (DN) per l'utente che si connette al server LDAP.

      Per Active Directory, è anche possibile specificare il nome di accesso di livello inferiore o il nome principale dell'utente.

      L'utente specificato deve disporre dell'autorizzazione per elencare gruppi e utenti e per accedere ai seguenti attributi:

      • sAMAccountName oppure uid

      • objectGUID, entryUUID, o. nsuniqueid

      • cn

      • memberOf oppure isMemberOf

      • Active Directory: objectSid, primaryGroupID, userAccountControl, e. userPrincipalName

      • Azure: accountEnabled e. userPrincipalName

    • Password: La password associata al nome utente.

    • DN base gruppo: Il percorso completo del nome distinto (DN) per una sottostruttura LDAP che si desidera cercare gruppi. Nell'esempio di Active Directory (riportato di seguito), tutti i gruppi il cui nome distinto è relativo al DN di base (DC=storagegrid,DC=example,DC=com) possono essere utilizzati come gruppi federati.

      Nota I valori Group unique name devono essere univoci all'interno del Group base DN a cui appartengono.
    • User base DN: Percorso completo del nome distinto (DN) di una sottostruttura LDAP che si desidera cercare gli utenti.

      Nota I valori Nome univoco utente devono essere univoci all'interno del DN base utente a cui appartengono.
    • Bind username format (opzionale): Il modello di nome utente predefinito che StorageGRID deve utilizzare se il modello non può essere determinato automaticamente.

      Si consiglia di fornire il formato bind username perché può consentire agli utenti di accedere se StorageGRID non è in grado di collegarsi con l'account del servizio.

      Immettere uno di questi modelli:

      • Modello UserPrincipalName (Active Directory e Azure): [USERNAME]@example.com

      • Modello di nome di accesso di livello inferiore (Active Directory e Azure): example\[USERNAME]

      • Modello nome distinto: CN=[USERNAME],CN=Users,DC=example,DC=com

        Includi [NOME UTENTE] esattamente come scritto.

  6. Nella sezione Transport Layer Security (TLS), selezionare un'impostazione di protezione.

    • Usa STARTTLS: Utilizza STARTTLS per proteggere le comunicazioni con il server LDAP. Si tratta dell'opzione consigliata per Active Directory, OpenLDAP o altro, ma questa opzione non è supportata per Azure.

    • Usa LDAPS: L'opzione LDAPS (LDAP su SSL) utilizza TLS per stabilire una connessione al server LDAP. Selezionare questa opzione per Azure.

    • Non utilizzare TLS: Il traffico di rete tra il sistema StorageGRID e il server LDAP non sarà protetto. Questa opzione non è supportata per Azure.

      Nota L'utilizzo dell'opzione non utilizzare TLS non è supportato se il server Active Directory applica la firma LDAP. È necessario utilizzare STARTTLS o LDAPS.
  7. Se si seleziona STARTTLS o LDAPS, scegliere il certificato utilizzato per proteggere la connessione.

    • Usa certificato CA del sistema operativo: Utilizza il certificato CA Grid predefinito installato sul sistema operativo per proteggere le connessioni.

    • Usa certificato CA personalizzato: Utilizza un certificato di protezione personalizzato.

      Se si seleziona questa impostazione, copiare e incollare il certificato di protezione personalizzato nella casella di testo del certificato CA.

Verificare la connessione e salvare la configurazione

Dopo aver inserito tutti i valori, è necessario verificare la connessione prima di salvare la configurazione. StorageGRID verifica le impostazioni di connessione per il server LDAP e il formato del nome utente BIND, se fornito.

Fasi
  1. Selezionare Test di connessione.

  2. Se non è stato fornito un formato nome utente BIND:

    • Se le impostazioni di connessione sono valide, viene visualizzato il messaggio “Test di connessione riuscito”. Selezionare Salva per salvare la configurazione.

    • Se le impostazioni di connessione non sono valide, viene visualizzato il messaggio “verifica connessione impossibile”. Selezionare Chiudi. Quindi, risolvere eventuali problemi e verificare nuovamente la connessione.

  3. Se è stato fornito un formato BIND Username, inserire il nome utente e la password di un utente federato valido.

    Ad esempio, inserire il proprio nome utente e la propria password. Non includere caratteri speciali nel nome utente, ad esempio @ o /.

    Richiesta di federazione delle identità per validare il formato del nome utente BIND
    • Se le impostazioni di connessione sono valide, viene visualizzato il messaggio “Test di connessione riuscito”. Selezionare Salva per salvare la configurazione.

    • Viene visualizzato un messaggio di errore se le impostazioni di connessione, il formato del nome utente BIND o il nome utente e la password di prova non sono validi. Risolvere eventuali problemi e verificare nuovamente la connessione.

Forzare la sincronizzazione con l'origine dell'identità

Il sistema StorageGRID sincronizza periodicamente gruppi e utenti federati dall'origine dell'identità. È possibile forzare l'avvio della sincronizzazione se si desidera attivare o limitare le autorizzazioni utente il più rapidamente possibile.

Fasi
  1. Vai alla pagina Identity Federation.

  2. Selezionare Sync server nella parte superiore della pagina.

    Il processo di sincronizzazione potrebbe richiedere del tempo a seconda dell'ambiente in uso.

    Nota L'avviso errore di sincronizzazione federazione identità viene attivato se si verifica un problema durante la sincronizzazione di utenti e gruppi federati dall'origine dell'identità.

Disattiva la federazione delle identità

È possibile disattivare temporaneamente o permanentemente la federazione di identità per gruppi e utenti. Quando la federazione delle identità è disattivata, non vi è alcuna comunicazione tra StorageGRID e l'origine delle identità. Tuttavia, tutte le impostazioni configurate vengono conservate, consentendo di riabilitare facilmente la federazione delle identità in futuro.

A proposito di questa attività

Prima di disattivare la federazione delle identità, è necessario tenere presente quanto segue:

  • Gli utenti federati non potranno accedere.

  • Gli utenti federati che hanno effettuato l'accesso manterranno l'accesso al sistema StorageGRID fino alla scadenza della sessione, ma non potranno accedere dopo la scadenza della sessione.

  • La sincronizzazione tra il sistema StorageGRID e l'origine dell'identità non viene eseguita e non vengono generati avvisi o allarmi per gli account che non sono stati sincronizzati.

  • La casella di controllo Enable Identity Federation (attiva federazione identità) è disattivata se Single Sign-on (SSO) è impostato su Enabled o Sandbox Mode. Lo stato SSO nella pagina Single Sign-on deve essere Disabled prima di poter disattivare la federazione delle identità. Vedere "Disattiva single sign-on".

Fasi
  1. Vai alla pagina Identity Federation.

  2. Deselezionare la casella di controllo Enable Identity Federation (attiva federazione identità).

Linee guida per la configurazione del server OpenLDAP

Se si desidera utilizzare un server OpenLDAP per la federazione delle identità, è necessario configurare impostazioni specifiche sul server OpenLDAP.

Avvertenza Per le fonti di identità che non sono Active Directory o Azure, StorageGRID non bloccherà automaticamente l'accesso S3 agli utenti disabilitati esternamente. Per bloccare l'accesso S3, eliminare eventuali chiavi S3 per l'utente o rimuovere l'utente da tutti i gruppi.

MemberOf e refint overlay

Gli overlay memberof e refint devono essere attivati. Per ulteriori informazioni, consultare le istruzioni per la manutenzione inversa dell'appartenenza al gruppo inhttp://www.openldap.org/doc/admin24/index.html["Documentazione di OpenLDAP: Guida per l'amministratore della versione 2.4"^].

Indicizzazione

È necessario configurare i seguenti attributi OpenLDAP con le parole chiave di indice specificate:

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

Inoltre, assicurarsi che i campi indicati nella guida per Nome utente siano indicizzati per ottenere prestazioni ottimali.

Consultare le informazioni relative alla manutenzione dell'appartenenza al gruppo inverso nella sezionehttp://www.openldap.org/doc/admin24/index.html["Documentazione di OpenLDAP: Guida per l'amministratore della versione 2.4"^].