Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理多因素身份验证(MFA)

贡献者
PDF

您可以在Active Directory联合身份验证服务(AD FS)服务器和SnapCenter服务器中管理多因素身份验证(MFA)功能。

启用多因素身份验证(MFA)

您可以使用PowerShell命令为SnapCenter服务器启用MFA功能。

关于此任务

  • 如果在同一AD FS中配置了其他应用程序、则SnapCenter 支持基于SSO的登录。在某些AD FS配置中、出于安全原因、SnapCenter 可能需要用户身份验证、具体取决于AD FS会话持久性。

  • 有关可与cmdlet结合使用的参数及其说明的信息,可通过运行来获取 Get-Help command_name。或者,您也可以参见 "《 SnapCenter 软件 cmdlet 参考指南》"

开始之前

  • Windows Active Directory联合身份验证服务(AD FS)应在相应的域中启动并运行。

  • 您应该拥有一个AD FS支持的多因素身份验证服务、例如Azure MFA、Cisco Duo等。

  • 无论时区如何、SnapCenter 和AD FS服务器的时间戳都应相同。

  • 获取并配置SnapCenter 服务器的授权CA证书。

    CA证书为必填项、原因如下:

    • 确保ADFS-F5通信不会中断、因为自签名证书在节点级别是唯一的。

    • 确保在独立或高可用性配置中升级、修复或灾难恢复(DR)期间、不会重新创建自签名证书、从而避免MFA重新配置。

    • 确保IP-FQDN解决。

      有关CA证书的信息、请参见 "生成 CA 证书 CSR 文件"

步骤

  1. 连接到Active Directory联合身份验证服务(AD FS)主机。

  2. 从下载AD FS联合元数据文件 "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"。

  3. 将下载的文件复制到SnapCenter 服务器以启用MFA功能。

  4. 通过PowerShell以SnapCenter 管理员用户身份登录到SnapCenter 服务器。

  5. 使用PowerShell会话、使用_New-SmMultifactorAuthenticationMetadata -path_ cmdlet生成SnapCenter MFA元数据文件。

    path参数用于指定在SnapCenter 服务器主机中保存MFA元数据文件的路径。

  6. 将生成的文件复制到AD FS主机、以将SnapCenter 配置为客户端实体。

  7. 使用为SnapCenter 服务器启用MFA Set-SmMultiFactorAuthentication cmdlet。

  8. (可选)使用检查MFA配置状态和设置 Get-SmMultiFactorAuthentication cmdlet。

  9. 转至Microsoft管理控制台(MMC)并执行以下步骤:

    1. 单击*文件*>*添加/删除Snapin *。

    2. 在添加或删除管理单元窗口中,选择 * 证书 * ,然后单击 * 添加 * 。

    3. 在证书管理单元窗口中,选择 * 计算机帐户 * 选项,然后单击 * 完成 * 。

    4. 单击*控制台根*>*证书–本地计算机*>*个人*>*证书*。

    5. 右键单击绑定到SnapCenter 的CA证书、然后选择*所有任务*>*管理专用密钥*。

    6. 在权限向导上、执行以下步骤:

      1. 单击 * 添加 * 。

      2. 单击*位置*并选择相关主机(层次结构顶部)。

      3. 单击*位置*弹出窗口中的*确定*。

      4. 在对象名称字段中、输入‘IIS_IUSRS '并单击*检查名称*、然后单击*确定*。

        如果检查成功、请单击*确定*。

  10. 在AD FS主机中、打开AD FS管理向导并执行以下步骤:

    1. 右键单击*依赖方信任*>*添加依赖方信任*>*启动*。

    2. 选择第二个选项并浏览SnapCenter MFA元数据文件、然后单击*下一步*。

    3. 指定显示名称并单击*下一步*。

    4. 根据需要选择访问控制策略,然后单击*Next*。

    5. 在下一个选项卡中选择默认设置。

    6. 单击 * 完成 * 。

      现在、SnapCenter 已被视为具有所提供显示名称的依赖方。

  11. 选择名称并执行以下步骤:

    1. 单击*编辑款项申请发放策略*。

    2. 单击*添加规则*、然后单击*下一步*。

    3. 指定声明规则的名称。

    4. 选择* Active Directory*作为属性存储。

    5. 选择*用户主体名称*属性、并选择传出声明类型*名称ID *。

    6. 单击 * 完成 * 。

  12. 在ADFS服务器上运行以下PowerShell命令。

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. 执行以下步骤以确认元数据已成功导入。

    1. 右键单击依赖方信任并选择*属性*。

    2. 确保已填充"端点"、"标识符"和"签名"字段。

  14. 关闭所有浏览器选项卡并重新打开浏览器以清除现有或活动会话Cookie、然后重新登录。

也可以使用REST API启用SnapCenter MFA功能。

有关故障排除的信息、请参阅 "在多个选项卡中同时尝试登录时会显示MFA错误"

更新AD FS MFA元数据

只要对AD FS服务器进行了任何修改、例如升级、CA证书续订、灾难恢复等、您就应在SnapCenter 中更新AD FS MFA元数据。

步骤

  1. 从下载AD FS联合元数据文件 "https://<host FQDN>/FederationMetadata、2007年06月/FedationMetadata。xml"

  2. 将下载的文件复制到SnapCenter 服务器以更新MFA配置。

  3. 运行以下cmdlet以更新SnapCenter 中的AD FS元数据:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. 关闭所有浏览器选项卡并重新打开浏览器以清除现有或活动会话Cookie、然后重新登录。

更新SnapCenter MFA元数据

只要在ADFS服务器中进行任何修改、例如修复、CA证书续订、DR等、您就应更新AD FS中的SnapCenter MFA元数据。

步骤

  1. 在AD FS主机中、打开AD FS管理向导并执行以下步骤:

    1. 单击*依赖方信任*。

    2. 右键单击为SnapCenter 创建的依赖方信任、然后单击*删除*。

      此时将显示依赖方信任的用户定义名称。

    3. 启用多因素身份验证(MFA)。

      请参见 "启用多因素身份验证"

  2. 关闭所有浏览器选项卡并重新打开浏览器以清除现有或活动会话Cookie、然后重新登录。

禁用多因素身份验证(MFA)

步骤

  1. 使用禁用MFA并清理在启用MFA时创建的配置文件 Set-SmMultiFactorAuthentication cmdlet。

  2. 关闭所有浏览器选项卡并重新打开浏览器以清除现有或活动会话Cookie、然后重新登录。