Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Requisitos e considerações para SSO

Colaboradores netapp-lhalbert netapp-pcarriga
PDFs

Antes de ativar o logon único (SSO) para um sistema StorageGRID, revise os requisitos e considerações.

Requisitos do provedor de identidade

O StorageGRID oferece suporte aos seguintes provedores de identidade SSO (IDP):

  • Serviço de Federação do ative Directory (AD FS)

  • ID de entrada da Microsoft

  • PingFederate

Você deve configurar a federação de identidade para o seu sistema StorageGRID antes de poder configurar um provedor de identidade SSO. O tipo de serviço LDAP que você usa para controles de federação de identidade que tipo de SSO você pode implementar.

Tipo de serviço LDAP configurado Opções para provedor de identidade SSO

Ative Directory

  • Ative Directory

  • ID de entrada

  • PingFederate

ID de entrada

ID de entrada

Requisitos do AD FS

Você pode usar qualquer uma das seguintes versões do AD FS:

  • Windows Server 2022 AD FS

  • Windows Server 2019 AD FS

  • Windows Server 2016 AD FS

Observação O Windows Server 2016 deve estar usando o "Atualização do KB3201845", ou superior.

Requisitos adicionais

  • Transport Layer Security (TLS) 1,2 ou 1,3

  • Microsoft .NET Framework, versão 3.5.1 ou superior

Considerações para Entra ID

Se você usar o Entra ID como o tipo de SSO e os usuários tiverem nomes principais de usuário que não usam o sAMAccountName como prefixo, poderão ocorrer problemas de login se o StorageGRID perder sua conexão com o servidor LDAP. Para permitir que os usuários efetuem login, você deve restaurar a conexão com o servidor LDAP.

Requisitos de certificado do servidor

Por padrão, o StorageGRID usa um certificado de interface de gerenciamento em cada nó de administração para proteger o acesso ao Grid Manager, ao Tenant Manager, à Grid Management API e à Tenant Management API. Ao configurar relações de confiança de terceira parte confiável (AD FS), aplicativos corporativos (Entra ID) ou conexões de provedor de serviços (PingFederate) para o StorageGRID, você usa o certificado do servidor como o certificado de assinatura para solicitações do StorageGRID .

Se ainda não "configurado um certificado personalizado para a interface de gerenciamento"o fez, deve fazê-lo agora. Quando você instala um certificado de servidor personalizado, ele é usado para todos os nós de administração e você pode usá-lo em todos os trusts de partes dependentes do StorageGRID, aplicativos empresariais ou conexões SP.

Observação O uso do certificado de servidor padrão de um nó de administrador em uma conexão de confiança de parte confiável, aplicativo empresarial ou SP não é recomendado. Se o nó falhar e você o recuperar, um novo certificado de servidor padrão será gerado. Antes de iniciar sessão no nó recuperado, tem de atualizar a confiança de parte fidedigna, a aplicação empresarial ou a ligação SP com o novo certificado.

Você pode acessar o certificado de servidor de um nó de administrador fazendo login no shell de comando do nó e indo para /var/local/mgmt-api o diretório. Um certificado de servidor personalizado é custom-server.crt nomeado . O certificado de servidor padrão do nó é server.crt nomeado .

Requisitos portuários

O logon único (SSO) não está disponível nas portas do Gerenciador de Grade restrito ou do Gerenciador de locatário. Você deve usar a porta HTTPS padrão (443) se quiser que os usuários se autentiquem com logon único. "Controle o acesso no firewall externo"Consulte .