Single Sign-On에 대한 요구 사항 및 고려 사항
변경 제안
PDF
StorageGRID 시스템에 대해 SSO(Single Sign-On)를 활성화하기 전에 요구 사항과 고려 사항을 검토하세요.
ID 공급자 요구 사항
StorageGRID 다음과 같은 SSO ID 공급자(IdP)를 지원합니다.
-
Active Directory 페더레이션 서비스(AD FS)
-
Azure Active Directory(Azure AD)
-
핑페더레이트
SSO ID 공급자를 구성하려면 먼저 StorageGRID 시스템에 대한 ID 페더레이션을 구성해야 합니다. ID 페더레이션에 사용하는 LDAP 서비스 유형은 구현할 수 있는 SSO 유형을 제어합니다.
| 구성된 LDAP 서비스 유형 | SSO ID 공급자에 대한 옵션 |
|---|---|
액티브 디렉토리 |
|
하늘빛 |
하늘빛 |
AD FS 요구 사항
다음 AD FS 버전을 사용할 수 있습니다.
-
윈도우 서버 2022 AD FS
-
윈도우 서버 2019 AD FS
-
윈도우 서버 2016 AD FS
|
Windows Server 2016은 다음을 사용해야 합니다. "KB3201845 업데이트" , 또는 그 이상. |
추가 요구 사항
-
전송 계층 보안(TLS) 1.2 또는 1.3
-
Microsoft .NET Framework 버전 3.5.1 이상
Azure에 대한 고려 사항
SSO 유형으로 Azure를 사용하고 사용자의 사용자 계정 이름이 접두사로 sAMAccountName을 사용하지 않는 경우 StorageGRID LDAP 서버와 연결이 끊어지면 로그인 문제가 발생할 수 있습니다. 사용자가 로그인할 수 있도록 하려면 LDAP 서버에 대한 연결을 복원해야 합니다.
서버 인증서 요구 사항
기본적으로 StorageGRID 각 관리 노드에서 관리 인터페이스 인증서를 사용하여 Grid Manager, Tenant Manager, Grid Management API 및 Tenant Management API에 대한 액세스를 보호합니다. StorageGRID 에 대한 신뢰 당사자 트러스트(AD FS), 엔터프라이즈 애플리케이션(Azure) 또는 서비스 공급자 연결(PingFederate)을 구성하는 경우 서버 인증서를 StorageGRID 요청에 대한 서명 인증서로 사용합니다.
아직 하지 않았다면"관리 인터페이스에 대한 사용자 정의 인증서를 구성했습니다." , 지금 당장 그렇게 해야 합니다. 사용자 지정 서버 인증서를 설치하면 모든 관리 노드에 사용되며 모든 StorageGRID 신뢰 당사자 트러스트, 엔터프라이즈 애플리케이션 또는 SP 연결에서 사용할 수 있습니다.
|
|
신뢰 당사자 신뢰, 엔터프라이즈 애플리케이션 또는 SP 연결에서 관리 노드의 기본 서버 인증서를 사용하는 것은 권장되지 않습니다. 노드에 장애가 발생하고 이를 복구하면 새로운 기본 서버 인증서가 생성됩니다. 복구된 노드에 로그인하려면 먼저 신뢰 당사자 신뢰, 엔터프라이즈 애플리케이션 또는 SP 연결을 새 인증서로 업데이트해야 합니다. |
노드의 명령 셸에 로그인하고 다음으로 이동하여 관리 노드의 서버 인증서에 액세스할 수 있습니다. /var/local/mgmt-api 예배 규칙서. 사용자 정의 서버 인증서의 이름은 다음과 같습니다. custom-server.crt . 노드의 기본 서버 인증서 이름은 다음과 같습니다. server.crt .
포트 요구 사항
제한된 Grid Manager 또는 Tenant Manager 포트에서는 SSO(Single Sign-On)를 사용할 수 없습니다. 사용자가 Single Sign-On으로 인증하도록 하려면 기본 HTTPS 포트(443)를 사용해야 합니다. 보다 "외부 방화벽에서 접근 제어" .