Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Requisiti e considerazioni per SSO

Collaboratori netapp-lhalbert netapp-pcarriga
PDF

Prima di abilitare il single sign-on (SSO) per un sistema StorageGRID, esaminare i requisiti e le considerazioni.

Requisiti del provider di identità

StorageGRID supporta i seguenti provider di identità SSO (IdP):

  • Active Directory Federation Service (ad FS)

  • ID di accesso Microsoft

  • PingFederate

È necessario configurare la federazione delle identità per il sistema StorageGRID prima di poter configurare un provider di identità SSO. Il tipo di servizio LDAP utilizzato per i controlli di federazione delle identità che consentono di implementare il tipo di SSO.

Tipo di servizio LDAP configurato Opzioni per il provider di identità SSO

Active Directory

  • Active Directory

  • Entra ID

  • PingFederate

Entra ID

Entra ID

Requisiti AD FS

È possibile utilizzare una delle seguenti versioni di ad FS:

  • Windows Server 2022 ad FS

  • Windows Server 2019 ad FS

  • Windows Server 2016 ad FS

Nota Windows Server 2016 deve utilizzare il "Aggiornamento KB3201845" o una versione successiva.

Requisiti aggiuntivi

  • Transport Layer Security (TLS) 1.2 o 1.3

  • Microsoft .NET Framework, versione 3.5.1 o successiva

Considerazioni per Entra ID

Se si utilizza Entra ID come tipo di SSO e gli utenti hanno nomi principali utente che non utilizzano sAMAccountName come prefisso, potrebbero verificarsi problemi di accesso se StorageGRID perde la connessione con il server LDAP. Per consentire agli utenti di accedere, è necessario ripristinare la connessione al server LDAP.

Requisiti dei certificati del server

Per impostazione predefinita, StorageGRID utilizza un certificato di interfaccia di gestione su ciascun nodo di amministrazione per proteggere l'accesso a Grid Manager, Tenant Manager, Grid Management API e Tenant Management API. Quando si configurano trust di relying party (AD FS), applicazioni aziendali (Entra ID) o connessioni del provider di servizi (PingFederate) per StorageGRID, si utilizza il certificato del server come certificato di firma per le richieste StorageGRID .

Se non lo avete già "ha configurato un certificato personalizzato per l'interfaccia di gestione"fatto, dovreste farlo ora. Quando si installa un certificato server personalizzato, viene utilizzato per tutti i nodi di amministrazione e può essere utilizzato in tutti i trust, le applicazioni aziendali o le connessioni SP di StorageGRID.

Nota Si sconsiglia di utilizzare il certificato server predefinito di un nodo di amministrazione in una connessione SP, un'applicazione aziendale o un trust di parte attiva. Se il nodo si guasta e viene ripristinato, viene generato un nuovo certificato server predefinito. Prima di poter accedere al nodo recuperato, è necessario aggiornare il trust della parte che si basa, l'applicazione aziendale o la connessione SP con il nuovo certificato.

È possibile accedere al certificato del server di un nodo amministrativo accedendo alla shell dei comandi del nodo e andando alla /var/local/mgmt-api directory. Un certificato server personalizzato è denominato custom-server.crt. Il certificato server predefinito del nodo è denominato server.crt.

Requisiti delle porte

Single Sign-on (SSO) non è disponibile sulle porte limitate di Grid Manager o Tenant Manager. Se si desidera che gli utenti eseguano l'autenticazione con Single Sign-on, è necessario utilizzare la porta HTTPS predefinita (443). Vedere "Controllare l'accesso al firewall esterno".