Olá, pessoal
Nesse post vou cobrir os passos para configurar o Single Sign-On no Veeam Backup for AWS e com isso utilizar um usuário que é gerenciando por um provedor de identidade ao invés de usar os usuários locais do Veeam Backup for AWS, garantindo uma maior segurança ao acesso da ferramenta.
O Veeam Backup for AWS suporta SSO baseado no protocolo SAML 2.0, então qualquer provedor de identidade que utilize o SAML 2.0 pode ser utilizado. Nesse artigo eu usarei o próprio Azure AD como provedor de identidade para ficar mais claro como efetuar cada passo.
No Azure Portal, entre nas opções de Enterprise applications:
Clique em “New application”:
E depois escolha a opção “Create your own application”:
Escolha um nome para o App e escolha a terceira opção “Integrate any Other application…”:
Com o App criado, vá até a seção de “Single sign-on” e depois escolha a opção “SAML”:
Volte para a console do Veeam Backup for AWS e vá até a seção de “Identity Provider” em “Settings”:
Faça o download dos metadados que usaremos em nosso App no Azure AD:
Volte para o Azure e clique na opção “Upload metadata file”:
Escolha o arquivo .XML que foi exportado e clique em “Add”:
As informações serão populadas automaticamente. Clique em “Save”:
Não é necessário testar o Single Sign-On, pode clicar em “No I’ll test later”:
Agora clique em “Edit” no passo 2 para criarmos um novo Claim:
Clique em “Add new claim”:
Em “Name” coloque “UserName”
Em “Source attributte” escolha a opção “user.userprincipalname”
O campo “Name” é case sensitivo e deve ser preenchido exatamente como mostra a imagem abaixo para funcionar corretamente. Clique em “Save” para salvar o novo Claim:
Ao final os Claim deve estar dessa forma:
Voltando nas configurações do Single sign-on, faça o download do Federation Metadata XML:
Ainda em nosso App, vá até a seção de “Users and groups” e adicione os usuários ou grupos que poderão utilizar essa aplicação. Em meu exemplo adicionarei apenas meu próprio usuário:
Voltando a tela de configuração do Identity Provider tno Veeam Backup for AWS, devemos fazer o upload do Metadata:
Modifique também a opção de “Use external identity provider” para On:
Por último precisamos adicionar os usuários em “Portal Users” e definir o acesso que terão.
Vá até “Accounts” e depois “Portal Users”:
Clique em “Add” e escolha a opção “Identity provider account”:
Digite o endereço de acesso do usuário no campo Name:
Escolha o nível de acesso do usuário:
E clique em “Finish” para criar a conta:
Agora que finalizamos a criação do usuário podemos testá-lo. Ao voltar a tela de login do Veeam Backup for AWS uma nova opção estará disponível com o nome “Log in with Single Sign-on”.
Clicando nessa opção seremos redirecionamos para fazer a autenticação pela Microsoft:
Caso sua conta possua alguma configuração de MFA será necessário se identificar:
Se tudo ocorrer dentro do esperado você conseguirá fazer o login com esse novo usuário:
Com isso finalizamos a configuração do Single SIgn-On para o Veeam Backup for AWS.
Mais detalhes no User Guide do Veeam Backup for AWS:
Até breve!
Compartilhe!