Requisitos e considerações para logon único
Antes de habilitar o logon único (SSO) para um sistema StorageGRID , revise os requisitos e considerações.
Requisitos do provedor de identidade
O StorageGRID oferece suporte aos seguintes provedores de identidade SSO (IdP):
-
Serviço de Federação do Active Directory (AD FS)
-
Diretório Ativo do Azure (Azure AD)
-
PingFederate
Você deve configurar a federação de identidade para seu sistema StorageGRID antes de poder configurar um provedor de identidade SSO. O tipo de serviço LDAP que você usa para federação de identidade controla qual tipo de SSO você pode implementar.
Tipo de serviço LDAP configurado | Opções para provedor de identidade SSO |
---|---|
Diretório ativo |
|
Azul |
Azul |
Requisitos do AD FS
Você pode usar qualquer uma das seguintes versões do AD FS:
-
AD FS do Windows Server 2022
-
AD FS do Windows Server 2019
-
AD FS do Windows Server 2016
|
O Windows Server 2016 deve estar usando o "Atualização KB3201845" , ou superior. |
Requisitos adicionais
-
Segurança da Camada de Transporte (TLS) 1.2 ou 1.3
-
Microsoft .NET Framework, versão 3.5.1 ou superior
Considerações sobre o Azure
Se você usar o Azure como o tipo de SSO e os usuários tiverem nomes principais de usuário que não usam o sAMAccountName como prefixo, poderão ocorrer problemas de login se o StorageGRID perder sua conexão com o servidor LDAP. Para permitir que os usuários efetuem login, você deve restaurar a conexão com o servidor LDAP.
Requisitos de certificado do servidor
Por padrão, o StorageGRID usa um certificado de interface de gerenciamento em cada nó de administração para proteger o acesso ao Grid Manager, ao Tenant Manager, à Grid Management API e à Tenant Management API. Ao configurar relações de confiança de terceira parte confiável (AD FS), aplicativos empresariais (Azure) ou conexões de provedor de serviços (PingFederate) para o StorageGRID, você usa o certificado do servidor como o certificado de assinatura para solicitações do StorageGRID .
Se você ainda não o fez"configurou um certificado personalizado para a interface de gerenciamento" , você deve fazer isso agora. Quando você instala um certificado de servidor personalizado, ele é usado para todos os nós de administração e você pode usá-lo em todos os trusts de terceiros confiáveis do StorageGRID , aplicativos empresariais ou conexões SP .
|
Não é recomendado usar o certificado de servidor padrão de um nó de administração em uma conexão de confiança de terceira parte, aplicativo empresarial ou SP . Se o nó falhar e você recuperá-lo, um novo certificado de servidor padrão será gerado. Antes de poder fazer login no nó recuperado, você deve atualizar a confiança da parte confiável, o aplicativo empresarial ou a conexão SP com o novo certificado. |
Você pode acessar o certificado do servidor de um nó de administração efetuando login no shell de comando do nó e indo para /var/local/mgmt-api
diretório. Um certificado de servidor personalizado é denominado custom-server.crt
. O certificado do servidor padrão do nó é denominado server.crt
.
Requisitos portuários
O logon único (SSO) não está disponível nas portas restritas do Grid Manager ou do Tenant Manager. Você deve usar a porta HTTPS padrão (443) se quiser que os usuários se autentiquem com logon único. Ver "Controle de acesso em firewall externo" .