Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Use a federação de identidade

Colaboradores

O uso da federação de identidade torna a configuração de grupos e usuários mais rápida e permite que os usuários façam login no StorageGRID usando credenciais familiares.

Configure a federação de identidade para o Grid Manager

Você pode configurar a federação de identidade no Gerenciador de Grade se quiser que os grupos de administração e usuários sejam gerenciados em outro sistema, como ative Directory, Azure ative Directory (Azure AD), OpenLDAP ou Oracle Directory Server.

Antes de começar
Sobre esta tarefa

Você pode configurar uma fonte de identidade para o Gerenciador de Grade se quiser importar grupos de outro sistema, como ative Directory, Azure AD, OpenLDAP ou Oracle Directory Server. Você pode importar os seguintes tipos de grupos:

  • Grupos de administração. Os usuários nos grupos de administração podem entrar no Gerenciador de Grade e executar tarefas, com base nas permissões de gerenciamento atribuídas ao grupo.

  • Grupos de usuários de locatários que não usam sua própria fonte de identidade. Os usuários em grupos de inquilinos podem entrar no Gerenciador de inquilinos e executar tarefas, com base nas permissões atribuídas ao grupo no Gerenciador de inquilinos. "Crie uma conta de locatário"Consulte e "Use uma conta de locatário" para obter detalhes.

Introduza a configuração

Passos
  1. Selecione CONFIGURATION > access control > Identity Federation.

  2. Selecione Ativar federação de identidade.

  3. Na secção tipo de serviço LDAP, selecione o tipo de serviço LDAP que pretende configurar.

    Página de Federação de identidades que mostra as opções de tipo de serviço LDAP

    Selecione Other para configurar valores para um servidor LDAP que use o Oracle Directory Server.

  4. Se você selecionou Other, preencha os campos na seção atributos LDAP. Caso contrário, vá para a próxima etapa.

    • Nome exclusivo do usuário: O nome do atributo que contém o identificador exclusivo de um usuário LDAP. Este atributo é equivalente sAMAccountName ao ative Directory e uid ao OpenLDAP. Se estiver configurando o Oracle Directory Server, digite uid.

    • UUID de usuário: O nome do atributo que contém o identificador exclusivo permanente de um usuário LDAP. Este atributo é equivalente objectGUID ao ative Directory e entryUUID ao OpenLDAP. Se estiver configurando o Oracle Directory Server, digite nsuniqueid. O valor de cada usuário para o atributo especificado deve ser um número hexadecimal de 32 dígitos no formato de 16 bytes ou string, onde os hífens são ignorados.

    • Group Unique Name: O nome do atributo que contém o identificador exclusivo de um grupo LDAP. Este atributo é equivalente sAMAccountName ao ative Directory e cn ao OpenLDAP. Se estiver configurando o Oracle Directory Server, digite cn.

    • Group UUID: O nome do atributo que contém o identificador exclusivo permanente de um grupo LDAP. Este atributo é equivalente objectGUID ao ative Directory e entryUUID ao OpenLDAP. Se estiver configurando o Oracle Directory Server, digite nsuniqueid. O valor de cada grupo para o atributo especificado deve ser um número hexadecimal de 32 dígitos no formato de 16 bytes ou string, onde os hífens são ignorados.

  5. Para todos os tipos de serviço LDAP, introduza as informações de ligação de rede e servidor LDAP necessárias na secção Configurar servidor LDAP.

    • Nome de host: O nome de domínio totalmente qualificado (FQDN) ou endereço IP do servidor LDAP.

    • Port: A porta usada para se conetar ao servidor LDAP.

      Observação A porta padrão para STARTTLS é 389 e a porta padrão para LDAPS é 636. No entanto, você pode usar qualquer porta desde que seu firewall esteja configurado corretamente.
    • Nome de usuário: O caminho completo do nome distinto (DN) para o usuário que se conetará ao servidor LDAP.

      No ative Directory, você também pode especificar o Nome de logon de nível inferior ou o Nome principal do usuário.

      O usuário especificado deve ter permissão para listar grupos e usuários e para acessar os seguintes atributos:

      • sAMAccountName ou uid

      • objectGUID, entryUUID, ou nsuniqueid

      • cn

      • memberOf ou isMemberOf

      • Ative Directory: objectSid, primaryGroupID, userAccountControl, E userPrincipalName

      • Azure: accountEnabled E. userPrincipalName

    • Senha: A senha associada ao nome de usuário.

      Observação Se você alterar a senha no futuro, você deve atualizá-la nesta página.
    • Group base DN: O caminho completo do nome distinto (DN) para uma subárvore LDAP que você deseja pesquisar grupos. No exemplo do ative Directory (abaixo), todos os grupos cujo Nome distinto é relativo ao DN base (DC-StorageGRID,DC-com) podem ser usados como grupos federados.

      Observação Os valores Group unique name devem ser exclusivos dentro do Group base DN a que pertencem.
    • DN da base do usuário: O caminho completo do nome distinto (DN) de uma subárvore LDAP que você deseja pesquisar por usuários.

      Observação Os valores Nome exclusivo do usuário devem ser exclusivos dentro do DN da base de usuários a que pertencem.
    • Bind username format (opcional): O padrão de username padrão StorageGRID deve ser usado se o padrão não puder ser determinado automaticamente.

      É recomendado fornecer Bind username format porque pode permitir que os usuários façam login se o StorageGRID não conseguir vincular-se à conta de serviço.

      Introduza um destes padrões:

      • Padrão UserPrincipalName (ative Directory e Azure): [USERNAME]@example.com

      • * Padrão de nome de logon de nível inferior (ative Directory e Azure)*: example\[USERNAME]

      • * Padrão de nome distinto *: CN=[USERNAME],CN=Users,DC=example,DC=com

        Inclua [USERNAME] exatamente como escrito.

  6. Na seção Transport Layer Security (TLS), selecione uma configuração de segurança.

    • Use STARTTLS: Use STARTTLS para proteger as comunicações com o servidor LDAP. Esta é a opção recomendada para ative Directory, OpenLDAP ou outro, mas esta opção não é suportada para o Azure.

    • Use LDAPS: A opção LDAPS (LDAP sobre SSL) usa TLS para estabelecer uma conexão com o servidor LDAP. Você deve selecionar essa opção para o Azure.

    • Não use TLS: O tráfego de rede entre o sistema StorageGRID e o servidor LDAP não será protegido. Esta opção não é suportada para o Azure.

      Observação O uso da opção não usar TLS não é suportado se o servidor do ative Directory forçar a assinatura LDAP. Você deve usar STARTTLS ou LDAPS.
  7. Se você selecionou STARTTLS ou LDAPS, escolha o certificado usado para proteger a conexão.

    • Use o certificado CA do sistema operacional: Use o certificado CA de grade padrão instalado no sistema operacional para proteger conexões.

    • Use certificado CA personalizado: Use um certificado de segurança personalizado.

      Se você selecionar essa configuração, copie e cole o certificado de segurança personalizado na caixa de texto certificado da CA.

Teste a conexão e salve a configuração

Depois de introduzir todos os valores, tem de testar a ligação antes de poder guardar a configuração. O StorageGRID verifica as configurações de conexão para o servidor LDAP e o formato de nome de usuário de vinculação, se você tiver fornecido uma.

Passos
  1. Selecione Test Connection.

  2. Se você não forneceu um formato de nome de usuário do BIND:

    • É apresentada uma mensagem "Test Connection successful" (testar ligação bem-sucedida) se as definições de ligação forem válidas. Selecione Save (Guardar) para guardar a configuração.

    • É apresentada uma mensagem "não foi possível estabelecer ligação de teste" se as definições da ligação forem inválidas. Selecione Fechar. Em seguida, resolva quaisquer problemas e teste a conexão novamente.

  3. Se você tiver fornecido um formato de nome de usuário do BIND, insira o nome de usuário e a senha de um usuário federado válido.

    Por exemplo, insira seu próprio nome de usuário e senha. Não inclua carateres especiais no nome de usuário, como em ou /.

    Pedido de federação de identidade para validar o formato de nome de usuário do BIND
    • É apresentada uma mensagem "Test Connection successful" (testar ligação bem-sucedida) se as definições de ligação forem válidas. Selecione Save (Guardar) para guardar a configuração.

    • Uma mensagem de erro é exibida se as configurações de conexão, o formato de nome de usuário de ligação ou o nome de usuário de teste e a senha forem inválidos. Resolva quaisquer problemas e teste a conexão novamente.

Forçar a sincronização com a fonte de identidade

O sistema StorageGRID sincroniza periodicamente grupos federados e usuários da origem da identidade. Você pode forçar o início da sincronização se quiser ativar ou restringir as permissões de usuário o mais rápido possível.

Passos
  1. Vá para a página de federação de identidade.

  2. Selecione servidor de sincronização na parte superior da página.

    O processo de sincronização pode demorar algum tempo, dependendo do ambiente.

    Observação O alerta Falha na sincronização da federação de identidade é acionado se houver um problema na sincronização de grupos federados e usuários da origem da identidade.

Desativar a federação de identidade

Você pode desativar temporariamente ou permanentemente a federação de identidade para grupos e usuários. Quando a federação de identidade está desativada, não há comunicação entre o StorageGRID e a fonte de identidade. No entanto, todas as configurações que você configurou são mantidas, permitindo que você reative facilmente a federação de identidade no futuro.

Sobre esta tarefa

Antes de desativar a federação de identidade, você deve estar ciente do seguinte:

  • Os utilizadores federados não poderão iniciar sessão.

  • Os usuários federados que estiverem conetados no momento manterão o acesso ao sistema StorageGRID até que sua sessão expire, mas não poderão fazer login depois que sua sessão expirar.

  • A sincronização entre o sistema StorageGRID e a origem da identidade não ocorrerá e os alertas não serão gerados para contas que não tenham sido sincronizadas.

  • A caixa de seleção Ativar federação de identidade será desativada se o logon único (SSO) estiver definido como ativado ou modo Sandbox. O status SSO na página de logon único deve ser Desabilitado antes de desativar a federação de identidade. "Desative o logon único"Consulte .

Passos
  1. Vá para a página de federação de identidade.

  2. Desmarque a caixa de seleção Ativar federação de identidade.

Diretrizes para configurar um servidor OpenLDAP

Se você quiser usar um servidor OpenLDAP para federação de identidade, você deve configurar configurações específicas no servidor OpenLDAP.

Cuidado Para fontes de identidade que não são ActiveDirectory ou Azure, o StorageGRID não bloqueará automaticamente o acesso S3 aos usuários que estão desativados externamente. Para bloquear o acesso S3, exclua quaisquer chaves S3 para o usuário ou remova o usuário de todos os grupos.

Sobreposições de Memberof e refint

As sobreposições membranadas e refinadas devem ser ativadas. Para obter mais informações, consulte as instruções para a manutenção da associação de grupo reverso no "Documentação do OpenLDAP: Guia do administrador da versão 2,4".

Indexação

Você deve configurar os seguintes atributos OpenLDAP com as palavras-chave de índice especificadas:

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

Além disso, certifique-se de que os campos mencionados na ajuda do Nome de usuário sejam indexados para um desempenho ideal.

Consulte as informações sobre a manutenção da associação de grupo reverso no "Documentação do OpenLDAP: Guia do administrador da versão 2,4".