Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Requisitos e considerações para logon único

Antes de habilitar o logon único (SSO) para um sistema StorageGRID , revise os requisitos e considerações.

Requisitos do provedor de identidade

O StorageGRID oferece suporte aos seguintes provedores de identidade SSO (IdP):

  • Serviço de Federação do Active Directory (AD FS)

  • Diretório Ativo do Azure (Azure AD)

  • PingFederate

Você deve configurar a federação de identidade para seu sistema StorageGRID antes de poder configurar um provedor de identidade SSO. O tipo de serviço LDAP que você usa para federação de identidade controla qual tipo de SSO você pode implementar.

Tipo de serviço LDAP configurado Opções para provedor de identidade SSO

Diretório ativo

  • Diretório ativo

  • Azul

  • PingFederate

Azul

Azul

Requisitos do AD FS

Você pode usar qualquer uma das seguintes versões do AD FS:

  • AD FS do Windows Server 2022

  • AD FS do Windows Server 2019

  • AD FS do Windows Server 2016

Observação O Windows Server 2016 deve estar usando o "Atualização KB3201845" , ou superior.

Requisitos adicionais

  • Segurança da Camada de Transporte (TLS) 1.2 ou 1.3

  • Microsoft .NET Framework, versão 3.5.1 ou superior

Considerações sobre o Azure

Se você usar o Azure como o tipo de SSO e os usuários tiverem nomes principais de usuário que não usam o sAMAccountName como prefixo, poderão ocorrer problemas de login se o StorageGRID perder sua conexão com o servidor LDAP. Para permitir que os usuários efetuem login, você deve restaurar a conexão com o servidor LDAP.

Requisitos de certificado do servidor

Por padrão, o StorageGRID usa um certificado de interface de gerenciamento em cada nó de administração para proteger o acesso ao Grid Manager, ao Tenant Manager, à Grid Management API e à Tenant Management API. Ao configurar relações de confiança de terceira parte confiável (AD FS), aplicativos empresariais (Azure) ou conexões de provedor de serviços (PingFederate) para o StorageGRID, você usa o certificado do servidor como o certificado de assinatura para solicitações do StorageGRID .

Se você ainda não o fez"configurou um certificado personalizado para a interface de gerenciamento" , você deve fazer isso agora. Quando você instala um certificado de servidor personalizado, ele é usado para todos os nós de administração e você pode usá-lo em todos os trusts de terceiros confiáveis ​​do StorageGRID , aplicativos empresariais ou conexões SP .

Observação Não é recomendado usar o certificado de servidor padrão de um nó de administração em uma conexão de confiança de terceira parte, aplicativo empresarial ou SP . Se o nó falhar e você recuperá-lo, um novo certificado de servidor padrão será gerado. Antes de poder fazer login no nó recuperado, você deve atualizar a confiança da parte confiável, o aplicativo empresarial ou a conexão SP com o novo certificado.

Você pode acessar o certificado do servidor de um nó de administração efetuando login no shell de comando do nó e indo para /var/local/mgmt-api diretório. Um certificado de servidor personalizado é denominado custom-server.crt . O certificado do servidor padrão do nó é denominado server.crt .

Requisitos portuários

O logon único (SSO) não está disponível nas portas restritas do Grid Manager ou do Tenant Manager. Você deve usar a porta HTTPS padrão (443) se quiser que os usuários se autentiquem com logon único. Ver "Controle de acesso em firewall externo" .