Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Use o modo sandbox

Colaboradores

Você pode usar o modo sandbox para configurar e testar o logon único (SSO) antes de habilitá-lo para todos os usuários do StorageGRID. Depois que o SSO estiver ativado, você poderá retornar ao modo sandbox sempre que precisar alterar ou testar novamente a configuração.

Antes de começar
  • Você está conetado ao Gerenciador de Grade usando um "navegador da web suportado".

  • Você tem o "Permissão de acesso à raiz".

  • Você configurou a federação de identidade para o seu sistema StorageGRID.

  • Para a federação de identidade tipo de serviço LDAP, você selecionou o ative Directory ou o Azure, com base no provedor de identidade SSO que você planeja usar.

    Tipo de serviço LDAP configurado Opções para provedor de identidade SSO

    Ative Directory

    • Ative Directory

    • Azure

    • PingFederate

    Azure

    Azure

Sobre esta tarefa

Quando o SSO está ativado e um usuário tenta entrar em um nó de administrador, o StorageGRID envia uma solicitação de autenticação para o provedor de identidade SSO. Por sua vez, o provedor de identidade SSO envia uma resposta de autenticação de volta ao StorageGRID, indicando se a solicitação de autenticação foi bem-sucedida. Para solicitações bem-sucedidas:

  • A resposta do ative Directory ou PingFederate inclui um identificador universal único (UUID) para o usuário.

  • A resposta do Azure inclui um Nome Principal de Usuário (UPN).

Para permitir que o StorageGRID (o provedor de serviços) e o provedor de identidade SSO se comuniquem com segurança sobre solicitações de autenticação de usuário, você deve configurar certas configurações no StorageGRID. Em seguida, você deve usar o software do provedor de identidade SSO para criar uma confiança de parte confiável (AD FS), aplicativo empresarial (Azure) ou provedor de serviços (PingFederate) para cada nó de administração. Finalmente, você deve retornar ao StorageGRID para ativar o SSO.

O modo Sandbox facilita a execução desta configuração de back-and-forth e testar todas as suas configurações antes de ativar o SSO. Quando você está usando o modo sandbox, os usuários não podem entrar usando SSO.

Acesse o modo sandbox

Passos
  1. Selecione CONFIGURATION > access control > Single sign-on.

    A página Single Sign-On (Início de sessão único) é exibida, com a opção Disabled selecionada.

    Página de logon único com status SSO desativado
    Observação Se as opções de Status SSO não aparecerem, confirme se você configurou o provedor de identidade como a origem de identidade federada. "Requisitos e considerações para logon único"Consulte .
  2. Selecione Sandbox Mode.

    A seção Provedor de identidade é exibida.

Insira os detalhes do provedor de identidade

Passos
  1. Selecione o SSO type na lista suspensa.

  2. Preencha os campos na seção Provedor de identidade com base no tipo SSO selecionado.

    Ative Directory
    1. Digite o nome do serviço Federation para o provedor de identidade, exatamente como aparece no ative Directory Federation Service (AD FS).

      Observação Para localizar o nome do serviço de federação, vá para Gerenciador do Windows Server. Selecione Ferramentas > Gerenciamento do AD FS. No menu Ação, selecione Editar Propriedades do Serviço de Federação. O Nome do Serviço de Federação é apresentado no segundo campo.
    2. Especifique qual certificado TLS será usado para proteger a conexão quando o provedor de identidade enviar informações de configuração SSO em resposta a solicitações StorageGRID.

      • Use o certificado CA do sistema operacional: Use o certificado CA padrão instalado no sistema operacional para proteger a conexão.

      • Usar certificado CA personalizado: Use um certificado CA personalizado para proteger a conexão.

        Se você selecionar essa configuração, copie o texto do certificado personalizado e cole-o na caixa de texto certificado CA.

      • Não use TLS: Não use um certificado TLS para proteger a conexão.

        Cuidado Se você alterar o certificado da CA, "Reinicie o serviço mgmt-api nos nós de administração"imediatamente e testar se há um SSO bem-sucedido no Gerenciador de Grade.
    3. Na seção parte dependente, especifique o identificador de parte dependente para StorageGRID. Esse valor controla o nome que você usa para cada confiança de parte confiável no AD FS.

      • Por exemplo, se sua grade tiver apenas um nó Admin e você não antecipar a adição de mais nós Admin no futuro, digite SG ou StorageGRID.

      • Se sua grade incluir mais de um nó Admin, inclua a cadeia [HOSTNAME] no identificador. Por exemplo, SG-[HOSTNAME]. Isso gera uma tabela que mostra o identificador de parte confiável para cada nó Admin em seu sistema, com base no nome do host do nó.

        Logon único
      Observação Você deve criar uma confiança de parte confiável para cada nó de administrador no seu sistema StorageGRID. Ter uma confiança de parte confiável para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração.
    4. Selecione Guardar.

      Uma marca de verificação verde aparece no botão Save durante alguns segundos.

      Botão Save (Guardar) com uma marca de verificação verde
    Azure
    1. Especifique qual certificado TLS será usado para proteger a conexão quando o provedor de identidade enviar informações de configuração SSO em resposta a solicitações StorageGRID.

      • Use o certificado CA do sistema operacional: Use o certificado CA padrão instalado no sistema operacional para proteger a conexão.

      • Usar certificado CA personalizado: Use um certificado CA personalizado para proteger a conexão.

        Se você selecionar essa configuração, copie o texto do certificado personalizado e cole-o na caixa de texto certificado CA.

      • Não use TLS: Não use um certificado TLS para proteger a conexão.

        Cuidado Se você alterar o certificado da CA, "Reinicie o serviço mgmt-api nos nós de administração"imediatamente e testar se há um SSO bem-sucedido no Gerenciador de Grade.
    2. Na seção aplicativo empresarial, especifique o Nome do aplicativo empresarial para StorageGRID. Esse valor controla o nome que você usa para cada aplicativo corporativo no Azure AD.

      • Por exemplo, se sua grade tiver apenas um nó Admin e você não antecipar a adição de mais nós Admin no futuro, digite SG ou StorageGRID.

      • Se sua grade incluir mais de um nó Admin, inclua a cadeia [HOSTNAME] no identificador. Por exemplo, SG-[HOSTNAME]. Isso gera uma tabela que mostra um nome de aplicativo corporativo para cada nó Admin em seu sistema, com base no nome do host do nó.

        Logon único
      Observação Você deve criar um aplicativo empresarial para cada nó de administração no sistema StorageGRID. Ter um aplicativo corporativo para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração.
    3. Siga as etapas em "Crie aplicativos empresariais no Azure AD" para criar um aplicativo corporativo para cada nó de administração listado na tabela.

    4. No Azure AD, copie o URL de metadados da federação para cada aplicativo corporativo. Em seguida, cole esse URL no campo URL de metadados de Federação correspondente no StorageGRID.

    5. Depois de copiar e colar um URL de metadados de federação para todos os nós de administração, selecione Salvar.

      Uma marca de verificação verde aparece no botão Save durante alguns segundos.

      Botão Save (Guardar) com uma marca de verificação verde
    PingFederate
    1. Especifique qual certificado TLS será usado para proteger a conexão quando o provedor de identidade enviar informações de configuração SSO em resposta a solicitações StorageGRID.

      • Use o certificado CA do sistema operacional: Use o certificado CA padrão instalado no sistema operacional para proteger a conexão.

      • Usar certificado CA personalizado: Use um certificado CA personalizado para proteger a conexão.

        Se você selecionar essa configuração, copie o texto do certificado personalizado e cole-o na caixa de texto certificado CA.

      • Não use TLS: Não use um certificado TLS para proteger a conexão.

        Cuidado Se você alterar o certificado da CA, "Reinicie o serviço mgmt-api nos nós de administração"imediatamente e testar se há um SSO bem-sucedido no Gerenciador de Grade.
    2. Na seção Fornecedor de Serviços (SP), especifique o ID de conexão SP para StorageGRID. Esse valor controla o nome que você usa para cada conexão SP no PingFederate.

      • Por exemplo, se sua grade tiver apenas um nó Admin e você não antecipar a adição de mais nós Admin no futuro, digite SG ou StorageGRID.

      • Se sua grade incluir mais de um nó Admin, inclua a cadeia [HOSTNAME] no identificador. Por exemplo, SG-[HOSTNAME]. Isso gera uma tabela que mostra o ID de conexão do SP para cada nó de administrador no sistema, com base no nome do host do nó.

        Logon único
      Observação Você deve criar uma conexão SP para cada nó de administração no sistema StorageGRID. Ter uma conexão SP para cada nó de administração garante que os usuários possam entrar e sair com segurança de qualquer nó de administração.
    3. Especifique o URL de metadados de federação para cada nó Admin no campo URL de metadados de Federação.

      Use o seguinte formato:

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>
    4. Selecione Guardar.

      Uma marca de verificação verde aparece no botão Save durante alguns segundos.

      Botão Save (Guardar) com uma marca de verificação verde

Configurar trusts de terceiros confiáveis, aplicativos empresariais ou conexões SP

Quando a configuração é salva, o aviso de confirmação do modo Sandbox é exibido. Este aviso confirma que o modo sandbox está agora ativado e fornece instruções de visão geral.

O StorageGRID pode permanecer no modo sandbox enquanto necessário. No entanto, quando modo Sandbox está selecionado na página de logon único, o SSO é desativado para todos os usuários do StorageGRID. Somente usuários locais podem fazer login.

Siga estas etapas para configurar as trusts de parte confiável (ative Directory), aplicativos empresariais completos (Azure) ou configurar conexões SP (PingFederate).

Ative Directory
Passos
  1. Vá para Serviços de Federação do ative Directory (AD FS).

  2. Crie uma ou mais confianças de parte confiáveis para o StorageGRID, usando cada identificador de parte confiável mostrado na tabela na página de logon único do StorageGRID.

    Você deve criar uma confiança para cada nó Admin mostrado na tabela.

    Para obter instruções, vá "Criar confiança de parte confiável no AD FS"para .

Azure
Passos
  1. Na página de logon único para o nó Admin ao qual você está conetado atualmente, selecione o botão para baixar e salvar os metadados SAML.

  2. Em seguida, para qualquer outro nó Admin na sua grade, repita estas etapas:

    1. Faça login no nó.

    2. Selecione CONFIGURATION > access control > Single sign-on.

    3. Baixe e salve os metadados SAML para esse nó.

  3. Vá para o Portal do Azure.

  4. Siga as etapas em "Crie aplicativos empresariais no Azure AD" para carregar o arquivo de metadados SAML para cada nó Admin em seu aplicativo corporativo do Azure correspondente.

PingFederate
Passos
  1. Na página de logon único para o nó Admin ao qual você está conetado atualmente, selecione o botão para baixar e salvar os metadados SAML.

  2. Em seguida, para qualquer outro nó Admin na sua grade, repita estas etapas:

    1. Faça login no nó.

    2. Selecione CONFIGURATION > access control > Single sign-on.

    3. Baixe e salve os metadados SAML para esse nó.

  3. Vá para PingFederate.

  4. "Crie uma ou mais conexões de provedor de serviços (SP) para o StorageGRID". Use o ID de conexão do SP para cada nó de administrador (mostrado na tabela na página de logon único do StorageGRID) e os metadados SAML que você baixou para esse nó de administrador.

    Você deve criar uma conexão SP para cada nó de administrador mostrado na tabela.

Testar conexões SSO

Antes de aplicar o uso de logon único para todo o sistema StorageGRID, você deve confirmar que o logon único e o logout único estão configurados corretamente para cada nó de administração.

Ative Directory
Passos
  1. Na página de logon único do StorageGRID, localize o link na mensagem do modo Sandbox.

    O URL é derivado do valor inserido no campo Nome do serviço de Federação.

    URL para a página de logon do provedor de identidade
  2. Selecione o link ou copie e cole o URL em um navegador para acessar a página de logon do provedor de identidade.

  3. Para confirmar que você pode usar o SSO para entrar no StorageGRID, selecione entrar em um dos seguintes sites, selecione o identificador de parte confiável para seu nó de administrador principal e selecione entrar.

    Testar confianças de parte confiáveis no modo SSO Sandbox
  4. Introduza o seu nome de utilizador federado e a palavra-passe.

    • Se as operações de login e logout SSO forem bem-sucedidas, uma mensagem de sucesso será exibida.

      Mensagem de sucesso de teste de autenticação SSO e logout
    • Se a operação SSO não for bem-sucedida, será exibida uma mensagem de erro. Corrija o problema, limpe os cookies do navegador e tente novamente.

  5. Repita estas etapas para verificar a conexão SSO para cada nó Admin na grade.

Azure
Passos
  1. Vá para a página de logon único no portal do Azure.

  2. Selecione Teste este aplicativo.

  3. Insira as credenciais de um usuário federado.

    • Se as operações de login e logout SSO forem bem-sucedidas, uma mensagem de sucesso será exibida.

      Mensagem de sucesso de teste de autenticação SSO e logout
    • Se a operação SSO não for bem-sucedida, será exibida uma mensagem de erro. Corrija o problema, limpe os cookies do navegador e tente novamente.

  4. Repita estas etapas para verificar a conexão SSO para cada nó Admin na grade.

PingFederate
Passos
  1. Na página de logon único do StorageGRID, selecione o primeiro link na mensagem do modo Sandbox.

    Selecione e teste um link de cada vez.

    Logon único
  2. Insira as credenciais de um usuário federado.

    • Se as operações de login e logout SSO forem bem-sucedidas, uma mensagem de sucesso será exibida.

      Mensagem de sucesso de teste de autenticação SSO e logout
    • Se a operação SSO não for bem-sucedida, será exibida uma mensagem de erro. Corrija o problema, limpe os cookies do navegador e tente novamente.

  3. Selecione o próximo link para verificar a conexão SSO para cada nó Admin na grade.

    Se você vir uma mensagem Página expirada, selecione o botão voltar no seu navegador e reenvie suas credenciais.

Ative o logon único

Quando você confirmar que pode usar o SSO para fazer login em cada nó de administrador, você pode ativar o SSO para todo o seu sistema StorageGRID.

Dica Quando o SSO está ativado, todos os usuários devem usar o SSO para acessar o Gerenciador de Grade, o Gerenciador de Locatário, a API de Gerenciamento de Grade e a API de Gerenciamento de Locatário. Os usuários locais não podem mais acessar o StorageGRID.
Passos
  1. Selecione CONFIGURATION > access control > Single sign-on.

  2. Altere o Status SSO para Enabled.

  3. Selecione Guardar.

  4. Reveja a mensagem de aviso e selecione OK.

    O início de sessão único está agora ativado.

Dica Se você estiver usando o Portal do Azure e acessar o StorageGRID do mesmo computador que usa para acessar o Azure, verifique se o usuário do Portal do Azure também é um usuário autorizado do StorageGRID (um usuário em um grupo federado que foi importado para o StorageGRID) ou faça logout do Portal do Azure antes de tentar entrar no StorageGRID.