Passa al contenuto principale

Configurazione di un provider di identità SAML esterno

È possibile scegliere di utilizzare SAML (Security Assertion Markup Language) 2.0 provider di identità per eseguire l'autenticazione e l'autorizzazione di Lenovo XClarity Administrator.

Prima di iniziare

Prima di configurare provider di identità è necessario completare la configurazione iniziale di XClarity Administrator.

Il provider di identità deve essere Microsoft Active Directory Federated Service (AD FS) e può essere connesso alla rete di gestione, alla rete di dati o a entrambe. Poiché l'autenticazione viene eseguita tramite il browser Web, il browser Web deve essere in grado di accedere a XClarity Administrator e al server SAML.

È possibile scaricare i metadati IDP utilizzando il seguente URL: https://<ADFS_IP_Address>/federationmetadata/2007-06/federationmetadata.xml, dove <ADFS_IP_Address> è l'indirizzo IP per AD FS (ad esempio, https://10.192.0.0/federationmetadata/2007-06/federationmetadata.xml).

È necessario creare o rinominare i gruppi di ruoli del server di autenticazione delle posizioni in modo che corrispondano ai gruppi definiti nel server di autenticazione esterna.

Per configurare un provider di identità SAML, è necessario essere collegati come utente membro del gruppo lxc_admin o lxc_supervisor.

Informazioni su questa attività

XClarity Administrator supporta l'utilizzo di un provider di identità Security Assertion Markup Language 2.0 per autenticare e autorizzare gli utenti. Oltre all'immissione di nome utente e password, il provider di identità può essere configurato in modo da richiedere criteri aggiuntivi per convalidare l'identità di un utente, come immissione di un codice PIN, lettura di una smart card e autenticazione mediante un certificato client.

Quando XClarity Administrator viene configurato per utilizzare un provider di identità, le richieste di login interattive dall'interfaccia Web di XClarity Administrator vengono reindirizzate al provider di identità per l'autenticazione. Una volta autenticato l'utente, il browser Web viene reindirizzato a XClarity Administrator.

Nota
se il provider di identità viene abilitato, è possibile ignorare il provider di identità ed eseguire il login a XClarity Administrator utilizzando il server di autenticazione LDAP esterna o locale, aprendo la pagina di login a XClarity Administrator dal browser Web (ad esempio, https://<ip_address>/ui/login.htm).

Quando XClarity Administrator è configurato per utilizzare un profilo provider di identità, la pagina "Gestione utenti" dell'interfaccia Web di XClarity Administrator non viene disabilitata. Gli account utente locali sono richiesti per eseguire direttamente il login a uno chassis gestito o al server (tranne se Incapsulamento non è abilitato su tale dispositivo) e per l'autenticazione PowerShell e API REST.

Procedura

Per configurare un provider di identità (AD FS) SAML esterno, completare le seguenti operazioni.

  1. Creare un account utente di ripristino che può essere utilizzato per eseguire il login a XClarity Administrator se il provider di identità non è disponibile (vedere Gestione degli account utente).
  2. Recuperare i metadati IDP (provider di identità) dal provider di identità e salvare il file sull'host XClarity Administrator.
  3. Configurare il client SAML di XClarity Administrator.
    1. Dalla barra dei menu di XClarity Administrator, fare clic su Amministrazione > Sicurezza.
    2. Fare clic su Impostazioni SAML nella sezione "Utenti e gruppi" per visualizzare la finestra di dialogo Impostazioni SAML.

      Mostra la pagina Impostazioni SAML.
    3. Compilare i campi nella pagina delle impostazioni SAML:
      1. Verificare che l'ID entità corrisponda all'indirizzo IP del server di gestione XClarity Administrator.
      2. Scegliere se i metadati generati devono essere firmati digitalmente.
      3. Scegliere se le richieste di autenticazione devono essere firmate.
      4. Scegliere se le risposte di autenticazione devono essere firmate.
      5. Scegliere se le richieste di risoluzione degli elementi inviate al provider di identità remoto devono essere firmate.
      6. Incollare i metadati IDP (provider di identità) SAML generati dal provider di identità e recuperati nel passaggio 3 nel campo Metadati IDP.
    4. Fare clic su Applica per applicare le modifiche e aggiornare il testo nel campo Metadati SP.
      Attenzione
      Non selezionare SAML abilitato ora. Sarà necessario abilitare SAML in un passaggio successivo per riavviare XClarity Administrator.
    5. Copiare e incollare i dati nel campo Metadati SP in un file e salvarlo con estensione .XML (ad esempio, sp_metadata.xml). Copiare questo file sull'host AD FS.
  4. Configurare AD FS.
    1. Aprire lo strumento di gestione AD FS.
    2. Fare clic su ADFS > Attendibilità relying party.
    3. Fare clic con il pulsante destro del mouse su Attendibilità relying party, quindi fare clic su Aggiungi attendibilità relying party per visualizzare la procedura guidata
    4. Fare clic su Avvia
    5. Nella pagina "Seleziona origine dati", selezionare Importa dati sulla relying party da un file, quindi selezionare quindi il file dei metadati SP salvato al passaggio 3e.
    6. Immettere il nome visualizzato.
    7. Fare clic su Avanti su tutte le pagine per scegliere i valori predefiniti.
    8. Fare clic su Fine per visualizzare la pagina Regole attestazioni
    9. Non modificare i valori predefiniti del campo Invia attributi LDAP come attestazioni e fare clic su Avanti.
    10. Immettere un nome regole attestazioni.
    11. Selezionare Active Directory per l'archivio di attributi.
    12. Aggiungere un'associazione. Sul lato sinistro, selezionare SAM-Account-Name e a destra, selezionare ID nome per il tipo di attestazione in uscita.
    13. Aggiungere un'altra associazione. Sul lato sinistro, selezionare Token-Groups-Unqualified Names e a destra, selezionare Gruppo per il tipo di attestazione in uscita
    14. Fare clic su OK.
    15. Individuare l'elemento attendibile appena creato nell'elenco di Attendibilità relying party.
    16. Fare clic con il pulsante destro del mouse sull'elemento attendibile e scegliere Seleziona proprietà. Viene visualizzata la finestra "Proprietà" dell'elemento attendibile.
    17. Fare clic sulla scheda Avanzate e selezionare SHA-1 come algoritmo hash sicuro.
  5. Salvare il certificato server da AD FS.
    1. Fare clic su Console AD FS > Assistenza > Certificati.
    2. Selezionare Certificato in firma di token.
    3. Fare clic con il pulsante destro del mouse sul certificato e fare clic su Visualizza certificato.
    4. Fare clic sulla scheda Dettagli.
    5. Fare clic su Copia su file e salvare il certificato come file binario codificato DER X.509 (.CER).
    6. Copiare il file .CER del certificato server sull'host XClarity Administrator.
  6. Importare il certificato attendibile AD FS nell'interfaccia Web di XClarity Administrator.
    1. Dalla barra dei menu di XClarity Administrator, fare clic su Amministrazione > Sicurezza.
    2. Fare clic su Certificati attendibili nella sezione "Gestione certificati".
    3. Fare clic sull'icona Crea (Icona Crea) per aggiungere un certificato.
    4. Selezionare il file .CER del certificato server salvato al passaggio precedente.
    5. Fare clic su Crea.
  7. Fare clic su Impostazioni SAML nella sezione "Utenti e gruppi" per visualizzare la finestra di dialogo "Impostazioni SAML".
  8. Selezionare SAML abilitato per abilitare la gestione degli account utente mediante un provider di identità esterno. Quando questa opzione è selezionata, tutti gli account utente esistono in remoto in un provider di identità.
  9. Fare clic su Applica per applicare le modifiche e riavviare il server di gestione.
  10. Attendere alcuni minuti per il riavvio di XClarity Administrator.
    Attenzione
    non riavviare l'appliance virtuale manualmente durante questo processo.
  11. Chiudere e riavviare il browser Web.
  12. Eseguire il login all'interfaccia Web di XClarity Administrator dal provider di identità.

Risultati

XClarity Administrator prova a verificare la configurazione per rilevare gli errori comuni. Se il test non riesce, vengono visualizzati i messaggi di errore che indicano l'origine degli errori.

XClarity Administrator convalida la connessione del provider di identità. Se la convalida viene superata, l'utente viene autenticato con il provider di identità quando si esegue il login a XClarity Administrator.