SSO の要件と考慮事項
変更を提案
PDF
StorageGRID システムでシングルサインオン(SSO)を有効にする前に、要件と考慮事項を確認してください。
アイデンティティプロバイダの要件
StorageGRID では、次の SSO アイデンティティプロバイダ( IdP )をサポートしています。
-
Active Directory フェデレーションサービス( AD FS )
-
Microsoft Entra ID
-
PingFederate
SSO アイデンティティプロバイダを設定する前に、 StorageGRID システムのアイデンティティフェデレーションを設定する必要があります。アイデンティティフェデレーションに使用する LDAP サービスのタイプによって、実装できる SSO のタイプが制御されます。
| LDAP サービスタイプが設定されました | SSO アイデンティティプロバイダのオプション |
|---|---|
Active Directory |
|
エントラID |
エントラID |
AD FS の要件
次のいずれかのバージョンの AD FS を使用できます。
-
Windows Server 2022 AD FS
-
Windows Server 2019 AD FS
-
Windows Server 2016 AD FS
|
Windows Server 2016では、以上を使用している必要があります "KB3201845 の更新プログラム"。 |
その他の要件
-
Transport Layer Security ( TLS ) 1.2 または 1.3
-
Microsoft .NET Framework バージョン 3.5.1 以降
Entra IDに関する考慮事項
SSO タイプとして Entra ID を使用し、ユーザーのユーザー プリンシパル名にプレフィックスとして sAMAccountName が使用されていない場合、 StorageGRID がLDAP サーバーとの接続を失うとログインの問題が発生する可能性があります。ユーザーがサインインできるようにするには、LDAP サーバーへの接続を復元する必要があります。
サーバ証明書の要件
デフォルトでは、 StorageGRID は各管理ノードで管理インターフェイス証明書を使用して、グリッド マネージャ、テナント マネージャ、グリッド管理 API、およびテナント管理 API へのアクセスを保護します。 StorageGRIDに対して証明書利用者信頼 (AD FS)、エンタープライズ アプリケーション (Entra ID)、またはサービス プロバイダー接続 (PingFederate) を構成する場合は、サーバー証明書をStorageGRID要求の署名証明書として使用します。
まだ"管理インターフェイス用のカスタム証明書を設定しました"実行していない場合は、今実行する必要があります。インストールしたカスタムサーバ証明書はすべての管理ノードで使用され、すべての StorageGRID 証明書利用者信頼、エンタープライズアプリケーション、または SP 接続で使用できます。
|
|
管理ノードのデフォルトサーバ証明書を証明書利用者信頼、エンタープライズアプリケーション、または SP 接続で使用することは推奨されません。ノードに障害が発生した場合にそのノードをリカバリすると、新しいデフォルトサーバ証明書が生成されます。リカバリしたノードにサインインするには、証明書利用者信頼、エンタープライズアプリケーション、または SP 接続を新しい証明書で更新する必要があります。 |
管理ノードのサーバ証明書にアクセスするには、ノードのコマンドシェルにログインしてディレクトリに移動 /var/local/mgmt-api`します。カスタムサーバ証明書の名前はです `custom-server.crt。ノードのデフォルトのサーバ証明書の名前はです server.crt。
ポートの要件
シングルサインオン( SSO )は、制限された Grid Manager ポートまたは Tenant Manager ポートでは使用できません。ユーザをシングルサインオンで認証する場合は、デフォルトの HTTPS ポート( 443 )を使用する必要があります。を参照して "外部ファイアウォールでアクセスを制御します"