Use o modo sandbox
Você pode usar o modo sandbox para configurar e testar o logon único (SSO) antes de habilitá-lo para todos os usuários do StorageGRID. Depois que o SSO estiver ativado, você poderá retornar ao modo sandbox sempre que precisar alterar ou testar novamente a configuração.
-
Você está conetado ao Gerenciador de Grade usando um "navegador da web suportado".
-
Você tem o "Permissão de acesso à raiz".
-
Você configurou a federação de identidade para o seu sistema StorageGRID.
-
Para a federação de identidade tipo de serviço LDAP, você selecionou o ative Directory ou o Azure, com base no provedor de identidade SSO que você planeja usar.
Tipo de serviço LDAP configurado Opções para provedor de identidade SSO Ative Directory
-
Ative Directory
-
Azure
-
PingFederate
Azure
Azure
-
Quando o SSO está ativado e um usuário tenta entrar em um nó de administrador, o StorageGRID envia uma solicitação de autenticação para o provedor de identidade SSO. Por sua vez, o provedor de identidade SSO envia uma resposta de autenticação de volta ao StorageGRID, indicando se a solicitação de autenticação foi bem-sucedida. Para solicitações bem-sucedidas:
-
A resposta do ative Directory ou PingFederate inclui um identificador universal único (UUID) para o usuário.
-
A resposta do Azure inclui um Nome Principal de Usuário (UPN).
Para permitir que o StorageGRID (o provedor de serviços) e o provedor de identidade SSO se comuniquem com segurança sobre solicitações de autenticação de usuário, você deve configurar certas configurações no StorageGRID. Em seguida, você deve usar o software do provedor de identidade SSO para criar uma confiança de parte confiável (AD FS), aplicativo empresarial (Azure) ou provedor de serviços (PingFederate) para cada nó de administração. Finalmente, você deve retornar ao StorageGRID para ativar o SSO.
O modo Sandbox facilita a execução desta configuração de back-and-forth e testar todas as suas configurações antes de ativar o SSO. Quando você está usando o modo sandbox, os usuários não podem entrar usando SSO.
Acesse o modo sandbox
-
Selecione CONFIGURATION > access control > Single sign-on.
A página Single Sign-On (Início de sessão único) é exibida, com a opção Disabled selecionada.
Se as opções de Status SSO não aparecerem, confirme se você configurou o provedor de identidade como a origem de identidade federada. "Requisitos e considerações para logon único"Consulte . -
Selecione Sandbox Mode.
A seção Provedor de identidade é exibida.
Insira os detalhes do provedor de identidade
-
Selecione o SSO type na lista suspensa.
-
Preencha os campos na seção Provedor de identidade com base no tipo SSO selecionado.
Ative Directory-
Digite o nome do serviço Federation para o provedor de identidade, exatamente como aparece no ative Directory Federation Service (AD FS).
Para localizar o nome do serviço de federação, vá para Gerenciador do Windows Server. Selecione Ferramentas > Gerenciamento do AD FS. No menu Ação, selecione Editar Propriedades do Serviço de Federação. O Nome do Serviço de Federação é apresentado no segundo campo. -
Especifique qual certificado TLS será usado para proteger a conexão quando o provedor de identidade enviar informações de configuração SSO em resposta a solicitações StorageGRID.
-
Use o certificado CA do sistema operacional: Use o certificado CA padrão instalado no sistema operacional para proteger a conexão.
-
Usar certificado CA personalizado: Use um certificado CA personalizado para proteger a conexão.
Se você selecionar essa configuração, copie o texto do certificado personalizado e cole-o na caixa de texto certificado CA.
-
Não use TLS: Não use um certificado TLS para proteger a conexão.
Se você alterar o certificado da CA, "Reinicie o serviço mgmt-api nos nós de administração"imediatamente e testar se há um SSO bem-sucedido no Gerenciador de Grade.
-
-
Na seção parte dependente, especifique o identificador de parte dependente para StorageGRID. Esse valor controla o nome que você usa para cada confiança de parte confiável no AD FS.
-
Por exemplo, se sua grade tiver apenas um nó Admin e você não antecipar a adição de mais nós Admin no futuro, digite
SG
ouStorageGRID
. -
Se sua grade incluir mais de um nó Admin, inclua a cadeia
[HOSTNAME]
no identificador. Por exemplo,SG-[HOSTNAME]
. Isso gera uma tabela que mostra o identificador de parte confiável para cada nó Admin em seu sistema, com base no nome do host do nó.
Você deve criar uma confiança de parte confiável para cada nó de administrador no seu sistema StorageGRID. Ter uma confiança de parte confiável para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração. -
-
Selecione Guardar.
Uma marca de verificação verde aparece no botão Save durante alguns segundos.
Azure-
Especifique qual certificado TLS será usado para proteger a conexão quando o provedor de identidade enviar informações de configuração SSO em resposta a solicitações StorageGRID.
-
Use o certificado CA do sistema operacional: Use o certificado CA padrão instalado no sistema operacional para proteger a conexão.
-
Usar certificado CA personalizado: Use um certificado CA personalizado para proteger a conexão.
Se você selecionar essa configuração, copie o texto do certificado personalizado e cole-o na caixa de texto certificado CA.
-
Não use TLS: Não use um certificado TLS para proteger a conexão.
Se você alterar o certificado da CA, "Reinicie o serviço mgmt-api nos nós de administração"imediatamente e testar se há um SSO bem-sucedido no Gerenciador de Grade.
-
-
Na seção aplicativo empresarial, especifique o Nome do aplicativo empresarial para StorageGRID. Esse valor controla o nome que você usa para cada aplicativo corporativo no Azure AD.
-
Por exemplo, se sua grade tiver apenas um nó Admin e você não antecipar a adição de mais nós Admin no futuro, digite
SG
ouStorageGRID
. -
Se sua grade incluir mais de um nó Admin, inclua a cadeia
[HOSTNAME]
no identificador. Por exemplo,SG-[HOSTNAME]
. Isso gera uma tabela que mostra um nome de aplicativo corporativo para cada nó Admin em seu sistema, com base no nome do host do nó.
Você deve criar um aplicativo empresarial para cada nó de administração no sistema StorageGRID. Ter um aplicativo corporativo para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração. -
-
Siga as etapas em "Crie aplicativos empresariais no Azure AD" para criar um aplicativo corporativo para cada nó de administração listado na tabela.
-
No Azure AD, copie o URL de metadados da federação para cada aplicativo corporativo. Em seguida, cole esse URL no campo URL de metadados de Federação correspondente no StorageGRID.
-
Depois de copiar e colar um URL de metadados de federação para todos os nós de administração, selecione Salvar.
Uma marca de verificação verde aparece no botão Save durante alguns segundos.
PingFederate-
Especifique qual certificado TLS será usado para proteger a conexão quando o provedor de identidade enviar informações de configuração SSO em resposta a solicitações StorageGRID.
-
Use o certificado CA do sistema operacional: Use o certificado CA padrão instalado no sistema operacional para proteger a conexão.
-
Usar certificado CA personalizado: Use um certificado CA personalizado para proteger a conexão.
Se você selecionar essa configuração, copie o texto do certificado personalizado e cole-o na caixa de texto certificado CA.
-
Não use TLS: Não use um certificado TLS para proteger a conexão.
Se você alterar o certificado da CA, "Reinicie o serviço mgmt-api nos nós de administração"imediatamente e testar se há um SSO bem-sucedido no Gerenciador de Grade.
-
-
Na seção Fornecedor de Serviços (SP), especifique o ID de conexão SP para StorageGRID. Esse valor controla o nome que você usa para cada conexão SP no PingFederate.
-
Por exemplo, se sua grade tiver apenas um nó Admin e você não antecipar a adição de mais nós Admin no futuro, digite
SG
ouStorageGRID
. -
Se sua grade incluir mais de um nó Admin, inclua a cadeia
[HOSTNAME]
no identificador. Por exemplo,SG-[HOSTNAME]
. Isso gera uma tabela que mostra o ID de conexão do SP para cada nó de administrador no sistema, com base no nome do host do nó.
Você deve criar uma conexão SP para cada nó de administração no sistema StorageGRID. Ter uma conexão SP para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração. -
-
Especifique o URL de metadados de federação para cada nó Admin no campo URL de metadados de Federação.
Use o seguinte formato:
https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>
-
Selecione Guardar.
Uma marca de verificação verde aparece no botão Save durante alguns segundos.
-
Configurar trusts de terceiros confiáveis, aplicativos empresariais ou conexões SP
Quando a configuração é salva, o aviso de confirmação do modo Sandbox é exibido. Este aviso confirma que o modo sandbox está agora ativado e fornece instruções de visão geral.
O StorageGRID pode permanecer no modo sandbox enquanto necessário. No entanto, quando modo Sandbox está selecionado na página de logon único, o SSO é desativado para todos os usuários do StorageGRID. Somente usuários locais podem fazer login.
Siga estas etapas para configurar as trusts de parte confiável (ative Directory), aplicativos empresariais completos (Azure) ou configurar conexões SP (PingFederate).
-
Vá para Serviços de Federação do ative Directory (AD FS).
-
Crie uma ou mais confianças de parte confiáveis para o StorageGRID, usando cada identificador de parte confiável mostrado na tabela na página de logon único do StorageGRID.
Você deve criar uma confiança para cada nó Admin mostrado na tabela.
Para obter instruções, vá "Criar confiança de parte confiável no AD FS"para .
-
Na página de logon único para o nó Admin ao qual você está conetado atualmente, selecione o botão para baixar e salvar os metadados SAML.
-
Em seguida, para qualquer outro nó Admin na sua grade, repita estas etapas:
-
Faça login no nó.
-
Selecione CONFIGURATION > access control > Single sign-on.
-
Baixe e salve os metadados SAML para esse nó.
-
-
Vá para o Portal do Azure.
-
Siga as etapas em "Crie aplicativos empresariais no Azure AD" para carregar o arquivo de metadados SAML para cada nó Admin em seu aplicativo corporativo do Azure correspondente.
-
Na página de logon único para o nó Admin ao qual você está conetado atualmente, selecione o botão para baixar e salvar os metadados SAML.
-
Em seguida, para qualquer outro nó Admin na sua grade, repita estas etapas:
-
Faça login no nó.
-
Selecione CONFIGURATION > access control > Single sign-on.
-
Baixe e salve os metadados SAML para esse nó.
-
-
Vá para PingFederate.
-
"Crie uma ou mais conexões de provedor de serviços (SP) para o StorageGRID". Use o ID de conexão do SP para cada nó de administrador (mostrado na tabela na página de logon único do StorageGRID) e os metadados SAML que você baixou para esse nó de administrador.
Você deve criar uma conexão SP para cada nó de administrador mostrado na tabela.
Testar conexões SSO
Antes de aplicar o uso de logon único para todo o sistema StorageGRID, você deve confirmar que o logon único e o logout único estão configurados corretamente para cada nó de administração.
-
Na página de logon único do StorageGRID, localize o link na mensagem do modo Sandbox.
O URL é derivado do valor inserido no campo Nome do serviço de Federação.
-
Selecione o link ou copie e cole o URL em um navegador para acessar a página de logon do provedor de identidade.
-
Para confirmar que você pode usar o SSO para entrar no StorageGRID, selecione entrar em um dos seguintes sites, selecione o identificador de parte confiável para seu nó de administrador principal e selecione entrar.
-
Introduza o seu nome de utilizador federado e a palavra-passe.
-
Se as operações de login e logout SSO forem bem-sucedidas, uma mensagem de sucesso será exibida.
-
Se a operação SSO não for bem-sucedida, será exibida uma mensagem de erro. Corrija o problema, limpe os cookies do navegador e tente novamente.
-
-
Repita estas etapas para verificar a conexão SSO para cada nó Admin na grade.
-
Vá para a página de logon único no portal do Azure.
-
Selecione Teste este aplicativo.
-
Insira as credenciais de um usuário federado.
-
Se as operações de login e logout SSO forem bem-sucedidas, uma mensagem de sucesso será exibida.
-
Se a operação SSO não for bem-sucedida, será exibida uma mensagem de erro. Corrija o problema, limpe os cookies do navegador e tente novamente.
-
-
Repita estas etapas para verificar a conexão SSO para cada nó Admin na grade.
-
Na página de logon único do StorageGRID, selecione o primeiro link na mensagem do modo Sandbox.
Selecione e teste um link de cada vez.
-
Insira as credenciais de um usuário federado.
-
Se as operações de login e logout SSO forem bem-sucedidas, uma mensagem de sucesso será exibida.
-
Se a operação SSO não for bem-sucedida, será exibida uma mensagem de erro. Corrija o problema, limpe os cookies do navegador e tente novamente.
-
-
Selecione o próximo link para verificar a conexão SSO para cada nó Admin na grade.
Se você vir uma mensagem Página expirada, selecione o botão voltar no seu navegador e reenvie suas credenciais.
Ative o logon único
Quando você confirmar que pode usar o SSO para fazer login em cada nó de administrador, você pode ativar o SSO para todo o seu sistema StorageGRID.
Quando o SSO está ativado, todos os usuários devem usar o SSO para acessar o Gerenciador de Grade, o Gerenciador de Locatário, a API de Gerenciamento de Grade e a API de Gerenciamento de Locatário. Os usuários locais não podem mais acessar o StorageGRID. |
-
Selecione CONFIGURATION > access control > Single sign-on.
-
Altere o Status SSO para Enabled.
-
Selecione Guardar.
-
Reveja a mensagem de aviso e selecione OK.
O início de sessão único está agora ativado.
Se você estiver usando o Portal do Azure e acessar o StorageGRID do mesmo computador que usa para acessar o Azure, verifique se o usuário do Portal do Azure também é um usuário autorizado do StorageGRID (um usuário em um grupo federado que foi importado para o StorageGRID) ou faça logout do Portal do Azure antes de tentar entrar no StorageGRID. |