Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare SSO

Collaboratori netapp-lhalbert
PDF

È possibile seguire la procedura guidata Configura SSO e accedere alla modalità sandbox per configurare e testare l'accesso Single Sign-On (SSO) prima di abilitarlo per tutti gli utenti StorageGRID . Dopo aver abilitato l'SSO, è possibile tornare alla modalità sandbox quando necessario per modificare o testare nuovamente la configurazione.

Prima di iniziare

  • L'utente ha effettuato l'accesso a Grid Manager utilizzando un "browser web supportato".

  • Si dispone di "Autorizzazione di accesso root".

  • Hai configurato la federazione delle identità per il tuo sistema StorageGRID.

  • Per il tipo di servizio LDAP di federazione delle identità, hai selezionato Active Directory o Entra ID, in base al provider di identità SSO che intendi utilizzare.

    Tipo di servizio LDAP configurato Opzioni per il provider di identità SSO

    Active Directory Federation Service (ad FS)

    • Active Directory

    • Entra ID

    • PingFederate

    Entra ID

    Entra ID
A proposito di questa attività

Quando SSO è attivato e un utente tenta di accedere a un nodo amministratore, StorageGRID invia una richiesta di autenticazione al provider di identità SSO. A sua volta, il provider di identità SSO invia una risposta di autenticazione a StorageGRID, indicando se la richiesta di autenticazione ha avuto esito positivo. Per le richieste riuscite:

  • La risposta di Active Directory o PingFederate include un UUID (Universally Unique Identifier) per l'utente.

  • La risposta da Entra ID include un nome principale utente (UPN).

Per consentire a StorageGRID (il fornitore del servizio) e al fornitore di identità SSO di comunicare in modo sicuro sulle richieste di autenticazione degli utenti, è necessario completare queste attività:

  1. Configurare le impostazioni in StorageGRID.

  2. Utilizzare il software del provider di identità SSO per creare un trust della relying party (AD FS), un'applicazione aziendale (Entra ID) o un provider di servizi (PingFederate) per ciascun nodo amministrativo.

  3. Tornare a StorageGRID per abilitare SSO.

La modalità sandbox semplifica l'esecuzione di questa configurazione avanti e indietro e il test di tutte le impostazioni prima di abilitare l'SSO. Quando si utilizza la modalità sandbox, gli utenti non possono accedere tramite SSO.

Accedere alla procedura guidata

Fasi

  1. Selezionare Configurazione > Controllo accessi > Single sign-on. Viene visualizzata la pagina Single Sign-On.

    Nota Se il pulsante Configura impostazioni SSO è disabilitato, conferma di aver configurato il provider di identità come origine dell'identità federata. Fare riferimento a "Requisiti e considerazioni per il single sign-on" .

  2. Seleziona Configura impostazioni SSO. Viene visualizzata la pagina Fornisci dettagli provider di identità.

Fornire i dettagli del provider di identità

Fasi

  1. Selezionare tipo SSO dall'elenco a discesa.

  2. Se hai selezionato Active Directory come tipo di SSO, immetti il Nome del servizio federativo per il provider di identità, esattamente come appare in Active Directory Federation Service (AD FS).

    Nota Per individuare il nome del servizio federativo, accedere a Gestione server Windows. Selezionare Tools > ad FS Management. Dal menu Action (azione), selezionare Edit Federation Service Properties (Modifica proprietà servizio federazione). Il nome del servizio della federazione viene visualizzato nel secondo campo.

  3. Specificare il certificato TLS da utilizzare per proteggere la connessione quando il provider di identità invia le informazioni di configurazione SSO in risposta alle richieste StorageGRID.

    • Usa certificato CA del sistema operativo: Utilizzare il certificato CA predefinito installato sul sistema operativo per proteggere la connessione.

    • Usa certificato CA personalizzato: Utilizza un certificato CA personalizzato per proteggere la connessione.

      Se si seleziona questa impostazione, copiare il testo del certificato personalizzato e incollarlo nella casella di testo certificato CA.

    • Non utilizzare TLS: Non utilizzare un certificato TLS per proteggere la connessione.

      Avvertenza Se si modifica il certificato CA, eseguire immediatamente "Riavviare il servizio Mgmt-api sui nodi Admin"il test di un SSO corretto in Grid Manager.

  4. Selezionare Continua. Viene visualizzata la pagina Fornisci l'identificativo della parte affidabile.

Fornire l'identificatore della parte affidabile

  1. Compilare i campi nella pagina Fornisci identificatore della parte affidabile in base al tipo di SSO selezionato.

    Active Directory

    1. Specificare l'identificatore della parte affidabile per StorageGRID. Questo valore controlla il nome utilizzato per ogni trust della relying party in AD FS.

      • Ad esempio, se la griglia dispone di un solo nodo amministrativo e non si prevede di aggiungere altri nodi amministrativi in futuro, immettere SG o StorageGRID.

      • Se la griglia include più di un nodo di amministrazione, includi la stringa [HOSTNAME] nell'identificatore. Ad esempio, SG-[HOSTNAME] . L'inclusione di questa stringa genera una tabella che mostra l'identificatore della parte affidabile per ciascun nodo di amministrazione nella griglia, in base al nome host del nodo.

        Nota È necessario creare un trust per ciascun nodo amministratore nel sistema StorageGRID. La disponibilità di un trust per ciascun nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione.

    2. Seleziona Salva e accedi alla modalità sandbox.

    Entra ID

    1. Nella sezione Applicazione aziendale, specificare il Nome dell'applicazione aziendale per StorageGRID. Questo valore controlla il nome utilizzato per ciascuna applicazione aziendale in Entra ID.

      • Ad esempio, se la griglia dispone di un solo nodo amministrativo e non si prevede di aggiungere altri nodi amministrativi in futuro, immettere SG o StorageGRID.

      • Se la griglia include più di un nodo di amministrazione, includi la stringa [HOSTNAME] nell'identificatore. Ad esempio, SG-[HOSTNAME] . L'inclusione di questa stringa genera una tabella che mostra il nome di un'applicazione aziendale per ciascun nodo di amministrazione nel sistema, in base al nome host del nodo.

        Nota È necessario creare un'applicazione aziendale per ciascun nodo amministratore nel sistema StorageGRID. La disponibilità di un'applicazione aziendale per ciascun nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione.

    2. Segui i passaggi in"Crea applicazioni aziendali in Entra ID" per creare un'applicazione aziendale per ogni nodo amministrativo elencato nella tabella.

    3. Dall'ID Entra, copiare l'URL dei metadati della federazione per ogni applicazione aziendale. Quindi, incolla questo URL nel campo URL metadati federazione corrispondente in StorageGRID.

    4. Dopo aver copiato e incollato un URL dei metadati di federazione per tutti i nodi amministrativi, seleziona Salva e accedi alla modalità sandbox.

    PingFederate

    1. Nella sezione Provider di servizi (SP), specificare ID connessione SP per StorageGRID. Questo valore controlla il nome utilizzato per ogni connessione SP in PingFederate.

      • Ad esempio, se la griglia dispone di un solo nodo amministrativo e non si prevede di aggiungere altri nodi amministrativi in futuro, immettere SG o StorageGRID.

      • Se la griglia include più di un nodo di amministrazione, includi la stringa [HOSTNAME] nell'identificatore. Ad esempio, SG-[HOSTNAME] . L'inclusione di questa stringa genera una tabella che mostra l'ID di connessione SP per ciascun nodo di amministrazione nel sistema, in base al nome host del nodo.

        Nota È necessario creare una connessione SP per ciascun nodo amministratore nel sistema StorageGRID. La disponibilità di una connessione SP per ciascun nodo di amministrazione garantisce che gli utenti possano accedere e uscire in modo sicuro da qualsiasi nodo di amministrazione.

    2. Specificare l'URL dei metadati della federazione per ciascun nodo amministratore nel campo URL metadati federazione.

      Utilizzare il seguente formato:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    3. Seleziona Salva e accedi alla modalità sandbox.

Configurare i trust, le applicazioni aziendali o le connessioni SP della parte che si basa

Dopo aver salvato la configurazione ed essere entrati in modalità sandbox, è possibile completare e testare la configurazione per il tipo di SSO selezionato.

StorageGRID può rimanere in modalità sandbox per tutto il tempo necessario. Tuttavia, solo gli utenti federati e gli utenti locali possono effettuare l'accesso.

Active Directory
Fasi

  1. Accedere a Active Directory Federation Services (ad FS).

  2. Creare uno o più trust di relying party per StorageGRID, utilizzando ciascun identificatore di relying party mostrato nella tabella nella pagina Configura SSO.

    È necessario creare un trust per ciascun nodo di amministrazione mostrato nella tabella.

    Per istruzioni, vedere "Creazione di trust di parti di base in ad FS".

Entra ID
Fasi

  1. Dalla pagina Single Sign-on (accesso singolo) per il nodo di amministrazione a cui si è attualmente connessi, selezionare il pulsante per scaricare e salvare i metadati SAML.

  2. Quindi, per tutti gli altri nodi di amministrazione della griglia, ripetere questi passaggi:

    1. Accedere al nodo.

    2. Selezionare Configurazione > Controllo accessi > Single sign-on.

    3. Scaricare e salvare i metadati SAML per quel nodo.

  3. Vai al portale di Azure.

  4. Segui i passaggi in"Crea applicazioni aziendali in Entra ID" per caricare il file di metadati SAML per ciascun nodo amministrativo nella corrispondente applicazione aziendale Entra ID.

PingFederate
Fasi

  1. Dalla pagina Single Sign-on (accesso singolo) per il nodo di amministrazione a cui si è attualmente connessi, selezionare il pulsante per scaricare e salvare i metadati SAML.

  2. Quindi, per tutti gli altri nodi di amministrazione della griglia, ripetere questi passaggi:

    1. Accedere al nodo.

    2. Selezionare Configurazione > Controllo accessi > Single sign-on.

    3. Scaricare e salvare i metadati SAML per quel nodo.

  3. Accedere a PingFederate.

  4. "Creare una o più connessioni del provider di servizi (SP) per StorageGRID" . Utilizzare l'ID di connessione SP per ciascun nodo di amministrazione (mostrato nella tabella nella pagina Configura SSO) e i metadati SAML scaricati per quel nodo di amministrazione.

    È necessario creare una connessione SP per ciascun nodo di amministrazione mostrato nella tabella.

Configurazione di prova

Prima di imporre l'uso dell'accesso singolo per l'intero sistema StorageGRID , verificare che l'accesso singolo e la disconnessione singola siano configurati correttamente per ciascun nodo di amministrazione.

Active Directory
Fasi

  1. Nella pagina Configura SSO, individua il collegamento nel passaggio Configurazione test della procedura guidata.

    L'URL deriva dal valore immesso nel campo Federation service name.

  2. Selezionare il collegamento oppure copiare e incollare l'URL in un browser per accedere alla pagina di accesso del provider di identità.

  3. Per confermare che è possibile utilizzare SSO per accedere a StorageGRID, selezionare Accedi a uno dei seguenti siti, selezionare l'identificativo della parte di base per il nodo di amministrazione principale e selezionare Accedi.

  4. Immettere il nome utente e la password federated.

    • Se le operazioni di accesso e disconnessione SSO hanno esito positivo, viene visualizzato un messaggio di esito positivo.

    • Se l'operazione SSO non riesce, viene visualizzato un messaggio di errore. Risolvere il problema, eliminare i cookie del browser e riprovare.

  5. Ripetere questa procedura per verificare la connessione SSO per ciascun nodo di amministrazione nella griglia.

Entra ID
Fasi

  1. Vai alla pagina Single Sign-on nel portale Azure.

  2. Selezionare Test dell'applicazione.

  3. Immettere le credenziali di un utente federated.

    • Se le operazioni di accesso e disconnessione SSO hanno esito positivo, viene visualizzato un messaggio di esito positivo.

    • Se l'operazione SSO non riesce, viene visualizzato un messaggio di errore. Risolvere il problema, eliminare i cookie del browser e riprovare.

  4. Ripetere questa procedura per verificare la connessione SSO per ciascun nodo di amministrazione nella griglia.

PingFederate
Fasi

  1. Dalla pagina Configura SSO, seleziona il primo collegamento nel messaggio della modalità Sandbox.

    Selezionare e verificare un collegamento alla volta.

  2. Immettere le credenziali di un utente federated.

    • Se le operazioni di accesso e disconnessione SSO hanno esito positivo, viene visualizzato un messaggio di esito positivo.

    • Se l'operazione SSO non riesce, viene visualizzato un messaggio di errore. Risolvere il problema, eliminare i cookie del browser e riprovare.

  3. Selezionare il collegamento successivo per verificare la connessione SSO per ciascun nodo di amministrazione nella griglia.

    Se viene visualizzato un messaggio Page Expired (pagina scaduta), selezionare il pulsante Back (Indietro) nel browser e inviare nuovamente le credenziali.

Attiva single sign-on

Una volta confermata la possibilità di utilizzare SSO per accedere a ciascun nodo amministrativo, è possibile attivare SSO per l'intero sistema StorageGRID.

Suggerimento Quando SSO è attivato, tutti gli utenti devono utilizzare SSO per accedere a Grid Manager, Tenant Manager, Grid Management API e Tenant Management API. Gli utenti locali non possono più accedere a StorageGRID.
Fasi

  1. Nel passaggio Configurazione test della procedura guidata di configurazione SSO, seleziona Abilita SSO.

  2. Rivedi il messaggio di avviso e seleziona Abilita SSO.

    Ora è abilitato l'accesso singolo. Viene visualizzata la pagina Single Sign-On, che ora include i dettagli per l'SSO appena configurato.

  3. Per modificare la configurazione, selezionare Modifica.

  4. Per disabilitare l'accesso singolo, seleziona Disabilita SSO.

Suggerimento Se si utilizza il portale di Azure e si accede a StorageGRID dallo stesso computer utilizzato per accedere all'ID Entra, assicurarsi che l'utente del portale di Azure sia anche un utente StorageGRID autorizzato (un utente in un gruppo federato che è stato importato in StorageGRID ) oppure disconnettersi dal portale di Azure prima di tentare di accedere a StorageGRID.