Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Utilizza la modalità sandbox

PDF

È possibile utilizzare la modalità sandbox per configurare e testare l'accesso singolo (SSO) prima di abilitarlo per tutti gli utenti StorageGRID . Dopo aver abilitato l'SSO, puoi tornare alla modalità sandbox ogni volta che hai bisogno di modificare o testare nuovamente la configurazione.

Prima di iniziare

  • Hai effettuato l'accesso a Grid Manager utilizzando un"browser web supportato" .

  • Tu hai il"Permesso di accesso root" .

  • Hai configurato la federazione delle identità per il tuo sistema StorageGRID .

  • Per il tipo di servizio LDAP di federazione delle identità, hai selezionato Active Directory o Azure, in base al provider di identità SSO che intendi utilizzare.

    Tipo di servizio LDAP configurato Opzioni per il provider di identità SSO

    Directory attiva

    • Directory attiva

    • Azzurro

    • PingFederate

    Azzurro

    Azzurro
Informazioni su questo compito

Quando l'SSO è abilitato e un utente tenta di accedere a un nodo di amministrazione, StorageGRID invia una richiesta di autenticazione al provider di identità SSO. A sua volta, il provider di identità SSO invia una risposta di autenticazione a StorageGRID, indicando se la richiesta di autenticazione è andata a buon fine. Per richieste andate a buon fine:

  • La risposta da Active Directory o PingFederate include un identificatore univoco universale (UUID) per l'utente.

  • La risposta di Azure include un nome dell'entità utente (UPN).

Per consentire a StorageGRID (il fornitore del servizio) e al provider di identità SSO di comunicare in modo sicuro sulle richieste di autenticazione degli utenti, è necessario configurare determinate impostazioni in StorageGRID. Successivamente, è necessario utilizzare il software del provider di identità SSO per creare un trust della relying party (AD FS), un'applicazione aziendale (Azure) o un provider di servizi (PingFederate) per ciascun nodo di amministrazione. Infine, è necessario tornare a StorageGRID per abilitare SSO.

La modalità sandbox semplifica l'esecuzione di questa configurazione avanti e indietro e il test di tutte le impostazioni prima di abilitare l'SSO. Quando si utilizza la modalità sandbox, gli utenti non possono accedere tramite SSO.

Accedi alla modalità sandbox

Passi

  1. Selezionare CONFIGURAZIONE > Controllo accessi > Single sign-on.

    Viene visualizzata la pagina Single Sign-on, con l'opzione Disabilitato selezionata.

    Pagina Single Sign-on con stato SSO disabilitato
    Nota Se le opzioni di stato SSO non vengono visualizzate, verificare di aver configurato il provider di identità come origine dell'identità federata. Vedere "Requisiti e considerazioni per l'accesso singolo" .

  2. Selezionare Modalità Sandbox.

    Viene visualizzata la sezione Provider di identità.

Inserisci i dettagli del provider di identità

Passi

  1. Selezionare il tipo SSO dall'elenco a discesa.

  2. Compila i campi nella sezione Identity Provider in base al tipo di SSO selezionato.

    Directory attiva

    1. Immettere il Nome del servizio federativo per il provider di identità, esattamente come appare in Active Directory Federation Service (AD FS).

      Nota Per individuare il nome del servizio federativo, accedere a Windows Server Manager. Selezionare Strumenti > Gestione AD FS. Dal menu Azione, seleziona Modifica proprietà del servizio federativo. Nel secondo campo viene visualizzato il nome del servizio federativo.

    2. Specificare quale certificato TLS verrà utilizzato per proteggere la connessione quando il provider di identità invia informazioni di configurazione SSO in risposta alle richieste StorageGRID .

      • Utilizza il certificato CA del sistema operativo: utilizza il certificato CA predefinito installato sul sistema operativo per proteggere la connessione.

      • Utilizza certificato CA personalizzato: utilizza un certificato CA personalizzato per proteggere la connessione.

        Se selezioni questa impostazione, copia il testo del certificato personalizzato e incollalo nella casella di testo Certificato CA.

      • Non utilizzare TLS: non utilizzare un certificato TLS per proteggere la connessione.

        Avvertenza Se si modifica il certificato CA, immediatamente"riavviare il servizio mgmt-api sui nodi amministrativi" e testare un SSO riuscito nel Grid Manager.

    3. Nella sezione Relying Party, specificare l'identificatore del relying party per StorageGRID. Questo valore controlla il nome utilizzato per ogni trust della relying party in AD FS.

      • Ad esempio, se la tua griglia ha un solo nodo amministrativo e non prevedi di aggiungerne altri in futuro, inserisci SG O StorageGRID .

      • Se la griglia include più di un nodo di amministrazione, includi la stringa [HOSTNAME] nell'identificatore. Ad esempio, SG-[HOSTNAME] . Viene generata una tabella che mostra l'identificatore della parte affidabile per ciascun nodo di amministrazione nel sistema, in base al nome host del nodo.

        Accesso unico
      Nota È necessario creare un trust della relying party per ciascun nodo amministrativo nel sistema StorageGRID . La presenza di un trust di parte affidabile per ogni nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione.

    4. Seleziona Salva.

      Per alcuni secondi sul pulsante Salva apparirà un segno di spunta verde.

      Pulsante Salva con un segno di spunta verde
    Azzurro

    1. Specificare quale certificato TLS verrà utilizzato per proteggere la connessione quando il provider di identità invia informazioni di configurazione SSO in risposta alle richieste StorageGRID .

      • Utilizza il certificato CA del sistema operativo: utilizza il certificato CA predefinito installato sul sistema operativo per proteggere la connessione.

      • Utilizza certificato CA personalizzato: utilizza un certificato CA personalizzato per proteggere la connessione.

        Se selezioni questa impostazione, copia il testo del certificato personalizzato e incollalo nella casella di testo Certificato CA.

      • Non utilizzare TLS: non utilizzare un certificato TLS per proteggere la connessione.

        Avvertenza Se si modifica il certificato CA, immediatamente"riavviare il servizio mgmt-api sui nodi amministrativi" e testare un SSO riuscito nel Grid Manager.

    2. Nella sezione Applicazione aziendale, specificare il Nome dell'applicazione aziendale per StorageGRID. Questo valore controlla il nome utilizzato per ogni applicazione aziendale in Azure AD.

      • Ad esempio, se la tua griglia ha un solo nodo amministrativo e non prevedi di aggiungerne altri in futuro, inserisci SG O StorageGRID .

      • Se la griglia include più di un nodo di amministrazione, includi la stringa [HOSTNAME] nell'identificatore. Ad esempio, SG-[HOSTNAME] . Viene generata una tabella che mostra il nome dell'applicazione aziendale per ciascun nodo di amministrazione nel sistema, in base al nome host del nodo.

        Accesso unico
      Nota È necessario creare un'applicazione aziendale per ciascun nodo amministrativo nel sistema StorageGRID . Disporre di un'applicazione aziendale per ciascun nodo amministrativo garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo amministrativo.

    3. Segui i passaggi in"Crea applicazioni aziendali in Azure AD" per creare un'applicazione aziendale per ogni nodo amministrativo elencato nella tabella.

    4. Da Azure AD, copiare l'URL dei metadati della federazione per ogni applicazione aziendale. Quindi, incolla questo URL nel campo URL metadati federazione corrispondente in StorageGRID.

    5. Dopo aver copiato e incollato un URL dei metadati di federazione per tutti i nodi amministrativi, seleziona Salva.

      Per alcuni secondi sul pulsante Salva apparirà un segno di spunta verde.

      Pulsante Salva con un segno di spunta verde
    PingFederate

    1. Specificare quale certificato TLS verrà utilizzato per proteggere la connessione quando il provider di identità invia informazioni di configurazione SSO in risposta alle richieste StorageGRID .

      • Utilizza il certificato CA del sistema operativo: utilizza il certificato CA predefinito installato sul sistema operativo per proteggere la connessione.

      • Utilizza certificato CA personalizzato: utilizza un certificato CA personalizzato per proteggere la connessione.

        Se selezioni questa impostazione, copia il testo del certificato personalizzato e incollalo nella casella di testo Certificato CA.

      • Non utilizzare TLS: non utilizzare un certificato TLS per proteggere la connessione.

        Avvertenza Se si modifica il certificato CA, immediatamente"riavviare il servizio mgmt-api sui nodi amministrativi" e testare un SSO riuscito nel Grid Manager.

    2. Nella sezione Fornitore di servizi (SP), specificare l'ID di connessione SP per StorageGRID. Questo valore controlla il nome utilizzato per ogni connessione SP in PingFederate.

      • Ad esempio, se la tua griglia ha un solo nodo amministrativo e non prevedi di aggiungerne altri in futuro, inserisci SG O StorageGRID .

      • Se la griglia include più di un nodo di amministrazione, includi la stringa [HOSTNAME] nell'identificatore. Ad esempio, SG-[HOSTNAME] . Viene generata una tabella che mostra l'ID di connessione SP per ciascun nodo di amministrazione nel sistema, in base al nome host del nodo.

        Accesso unico
      Nota È necessario creare una connessione SP per ciascun nodo amministrativo nel sistema StorageGRID . Disporre di una connessione SP per ciascun nodo amministrativo garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo amministrativo.

    3. Specificare l'URL dei metadati della federazione per ciascun nodo di amministrazione nel campo URL dei metadati della federazione.

      Utilizzare il seguente formato:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    4. Seleziona Salva.

      Per alcuni secondi sul pulsante Salva apparirà un segno di spunta verde.

      Pulsante Salva con un segno di spunta verde

Configurare trust di relying party, applicazioni aziendali o connessioni SP

Una volta salvata la configurazione, viene visualizzato l'avviso di conferma della modalità Sandbox. Questa nota conferma che la modalità sandbox è ora abilitata e fornisce istruzioni generali.

StorageGRID può rimanere in modalità sandbox per tutto il tempo necessario. Tuttavia, quando nella pagina Single Sign-on è selezionata la Modalità Sandbox, l'SSO è disabilitato per tutti gli utenti StorageGRID . Possono effettuare l'accesso solo gli utenti locali.

Seguire questi passaggi per configurare trust di relying party (Active Directory), completare applicazioni aziendali (Azure) o configurare connessioni SP (PingFederate).

Directory attiva
Passi

  1. Vai ad Active Directory Federation Services (AD FS).

  2. Creare uno o più trust di relying party per StorageGRID, utilizzando ciascun identificatore di relying party mostrato nella tabella nella pagina Single Sign-on StorageGRID .

    È necessario creare un trust per ogni nodo amministrativo mostrato nella tabella.

    Per le istruzioni, vai a"Creare trust di relying party in AD FS" .

Azzurro
Passi

  1. Dalla pagina Single Sign-On per il nodo di amministrazione a cui hai effettuato l'accesso, seleziona il pulsante per scaricare e salvare i metadati SAML.

  2. Quindi, per tutti gli altri nodi amministrativi nella griglia, ripeti questi passaggi:

    1. Sign in al nodo.

    2. Selezionare CONFIGURAZIONE > Controllo accessi > Single sign-on.

    3. Scarica e salva i metadati SAML per quel nodo.

  3. Vai al portale di Azure.

  4. Segui i passaggi in"Crea applicazioni aziendali in Azure AD" per caricare il file di metadati SAML per ciascun nodo di amministrazione nella corrispondente applicazione aziendale di Azure.

PingFederate
Passi

  1. Dalla pagina Single Sign-On per il nodo di amministrazione a cui hai effettuato l'accesso, seleziona il pulsante per scaricare e salvare i metadati SAML.

  2. Quindi, per tutti gli altri nodi amministrativi nella griglia, ripeti questi passaggi:

    1. Sign in al nodo.

    2. Selezionare CONFIGURAZIONE > Controllo accessi > Single sign-on.

    3. Scarica e salva i metadati SAML per quel nodo.

  3. Vai su PingFederate.

  4. "Creare una o più connessioni al fornitore di servizi (SP) per StorageGRID" . Utilizzare l'ID di connessione SP per ciascun nodo amministrativo (mostrato nella tabella nella pagina StorageGRID Single Sign-on) e i metadati SAML scaricati per tale nodo amministrativo.

    È necessario creare una connessione SP per ogni nodo amministrativo mostrato nella tabella.

Test delle connessioni SSO

Prima di imporre l'uso dell'accesso singolo per l'intero sistema StorageGRID , è necessario verificare che l'accesso singolo e la disconnessione singola siano configurati correttamente per ciascun nodo di amministrazione.

Directory attiva
Passi

  1. Nella pagina StorageGRID Single Sign-on, individuare il collegamento nel messaggio della modalità Sandbox.

    L'URL deriva dal valore immesso nel campo Nome del servizio federativo.

    URL per la pagina di accesso del provider di identità

  2. Seleziona il collegamento oppure copia e incolla l'URL in un browser per accedere alla pagina di accesso del tuo provider di identità.

  3. Per confermare di poter utilizzare SSO per accedere a StorageGRID, seleziona * Sign in a uno dei seguenti siti*, seleziona l'identificativo della parte affidabile per il tuo nodo di amministrazione primario e seleziona * Sign in*.

    Testare i trust delle parti affidabili in modalità SSO Sandbox

  4. Inserisci il tuo nome utente e la tua password federati.

    • Se le operazioni di accesso e disconnessione SSO vanno a buon fine, viene visualizzato un messaggio di conferma.

      Messaggio di successo del test di autenticazione e disconnessione SSO

    • Se l'operazione SSO non riesce, viene visualizzato un messaggio di errore. Risolvi il problema, cancella i cookie del browser e riprova.

  5. Ripetere questi passaggi per verificare la connessione SSO per ciascun nodo amministrativo nella griglia.

Azzurro
Passi

  1. Vai alla pagina Single Sign-On nel portale di Azure.

  2. Seleziona Prova questa applicazione.

  3. Inserisci le credenziali di un utente federato.

    • Se le operazioni di accesso e disconnessione SSO vanno a buon fine, viene visualizzato un messaggio di conferma.

      Messaggio di successo del test di autenticazione e disconnessione SSO

    • Se l'operazione SSO non riesce, viene visualizzato un messaggio di errore. Risolvi il problema, cancella i cookie del browser e riprova.

  4. Ripetere questi passaggi per verificare la connessione SSO per ciascun nodo amministrativo nella griglia.

PingFederate
Passi

  1. Dalla pagina StorageGRID Single Sign-on, selezionare il primo collegamento nel messaggio della modalità Sandbox.

    Seleziona e testa un collegamento alla volta.

    Accesso unico

  2. Inserisci le credenziali di un utente federato.

    • Se le operazioni di accesso e disconnessione SSO vanno a buon fine, viene visualizzato un messaggio di conferma.

      Messaggio di successo del test di autenticazione e disconnessione SSO

    • Se l'operazione SSO non riesce, viene visualizzato un messaggio di errore. Risolvi il problema, cancella i cookie del browser e riprova.

  3. Seleziona il collegamento successivo per verificare la connessione SSO per ciascun nodo di amministrazione nella tua griglia.

    Se vedi un messaggio di pagina scaduta, seleziona il pulsante Indietro nel tuo browser e invia nuovamente le tue credenziali.

Abilita l'accesso singolo

Dopo aver confermato di poter utilizzare SSO per accedere a ciascun nodo di amministrazione, puoi abilitare SSO per l'intero sistema StorageGRID .

Suggerimento Quando SSO è abilitato, tutti gli utenti devono utilizzare SSO per accedere a Grid Manager, Tenant Manager, Grid Management API e Tenant Management API. Gli utenti locali non possono più accedere a StorageGRID.
Passi

  1. Selezionare CONFIGURAZIONE > Controllo accessi > Single sign-on.

  2. Modificare lo stato SSO in Abilitato.

  3. Seleziona Salva.

  4. Rivedere il messaggio di avviso e selezionare OK.

    Ora è abilitato l'accesso singolo.

Suggerimento Se si utilizza il portale di Azure e si accede a StorageGRID dallo stesso computer utilizzato per accedere ad Azure, assicurarsi che l'utente del portale di Azure sia anche un utente StorageGRID autorizzato (un utente in un gruppo federato importato in StorageGRID) oppure disconnettersi dal portale di Azure prima di tentare di accedere a StorageGRID.