SSMC 中的双因素身份验证过程

SSMC 计划执行一个包含一些步骤的工作流,以便为 3PAR/Primera 阵列上的阵列管理用户执行基于 X.509 的双因素身份验证。此外,SSMC 为运行固件 4.3 或更高版本的 Primera 阵列执行增强版本的工作流。两个系列步骤版本如下所示:

运行固件 4.3 或更高版本的 Primera 阵列的工作流

  1. 如果为 SSMC 配置了双因素身份验证,SSMC 将从浏览器中请求客户端证书。

  2. 用于访问 SSMC 的 Web 浏览器向 SSMC 提供客户端证书。

  3. SSMC 评估是否信任从浏览器收到的客户端证书的颁发者。

  4. 如果 SSMC 信任客户端证书的颁发者,则 SSMC 将客户端证书传送到阵列。

  5. 除了浏览器发送的用户证书以外,SSMC 还向存储阵列提供自己的客户端证书。

  6. 存储阵列上的 HPE Storage OS 评估是否信任 SSMC 客户端证书的颁发者。

  7. 如果存储阵列信任 SSMC 证书的颁发者,存储阵列将验证来自浏览器和 SSMC 的客户端证书。

  8. 在成功完成用户证书验证时,队列从用户证书中解析用户标识符。

  9. 队列使用服务帐户用户绑定到配置的 LDAP 服务器。

  10. HPE Storage OS 搜索与从用户证书中获取的用户标识符匹配的 LDAP 条目。

  11. 如果 HPE Storage OS 找到匹配的 LDAP 用户,OS 将评估 LDAP 组成员身份以确定用户角色。

  12. 用户使用确定的身份和角色登录到 SSMC。

所有其它 Primera/3PAR 阵列的工作流

  1. 如果为 SSMC 配置了双因素身份验证,SSMC 将从浏览器中请求客户端证书。

  2. 用于访问 SSMC 的 Web 浏览器向 SSMC 提供客户端证书。

  3. SSMC 评估是否信任从浏览器收到的客户端证书的颁发者。

  4. 如果 SSMC 信任客户端证书的颁发者,则 SSMC 从客户端证书中解析用户标识符。

  5. 除了从浏览器提供的客户端证书中解析的用户标识符以外,SSMC 还向存储阵列提供自己的客户端证书。

  6. 存储阵列上的 HPE Storage OS 评估是否信任 SSMC 客户端证书的颁发者。

  7. 如果存储阵列信任 SSMC 证书的颁发者,则存储阵列使用服务帐户用户绑定到配置的 LDAP 服务器。

  8. HPE Storage OS 搜索与 SSMC 提供的用户标识符匹配的 LDAP 条目。

  9. 如果 HPE Storage OS 找到匹配的 LDAP 用户,OS 将评估 LDAP 组成员身份以确定用户角色。

  10. 用户使用确定的身份和角色登录到 SSMC。

重要信息:

确保在 SSMC Administrator Console 中的所有系统上正确配置了双因素身份验证。甚至单个错误配置也会影响 SSO 登录的功能。