Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die SAML-Authentifizierung

Beitragende

Ab ONTAP 9.3 können Sie die SAML-Authentifizierung (Security Assertion Markup Language) für Webservices konfigurieren. Wenn die SAML-Authentifizierung konfiguriert und aktiviert ist, werden Benutzer von einem externen Identitäts-Provider (IdP) anstelle von Verzeichnisdienstanbietern wie Active Directory und LDAP authentifiziert.

Aktivieren Sie die SAML-Authentifizierung

Führen Sie die folgenden Schritte durch, um die SAML-Authentifizierung mit System Manager oder mit der CLI zu aktivieren. Wenn auf Ihrem Cluster ONTAP 9.7 oder eine frühere Version ausgeführt wird, sind die zu befolgenden Schritte in System Manager unterschiedlich. Weitere Informationen finden Sie in der System Manager Online-Hilfe, die auf Ihrem System verfügbar ist.

Hinweis Nach der Aktivierung der SAML-Authentifizierung können nur Remote-Benutzer auf die System Manager GUI zugreifen. Lokale Benutzer können nach Aktivierung der SAML-Authentifizierung nicht auf die System Manager-GUI zugreifen.

Workflow der Aufgabe zur Einrichtung der Multifaktor-Authentifizierung mit SAML

Bevor Sie beginnen
  • Der IdP, den Sie für die Remote-Authentifizierung verwenden möchten, muss konfiguriert werden.

    Hinweis

    Lesen Sie die Dokumentation, die von der von Ihnen konfigurierten IdP bereitgestellt wird.

  • Sie müssen die URI des IdP haben.

Über diese Aufgabe
  • SAML-Authentifizierung gilt nur für die http und ontapi-Applikationen.

    Die http und ontapi-Applikationen werden von den folgenden Webservices verwendet: Service-Prozessor-Infrastruktur, ONTAP-APIs oder System Manager.

  • SAML-Authentifizierung ist nur für den Zugriff auf die Administrator-SVM anwendbar.

Die folgenden IDPs wurden mit System Manager validiert:

  • Active Directory Federation Services

  • Cisco DUO (validiert mit den folgenden ONTAP-Versionen:)

    • 9.7P21 und höher 9.7 Versionen (siehe "Dokumentation zu System Manager Classic")

    • 9.8P17 und höher 9.8

    • 9.9.1P13 und höher 9.9 Versionen

    • 9.10.1P9 und höher 9.10 Versionen

    • 9.11.1P4 und höher Version 9.11

    • 9.12.1 und höhere Versionen

  • Shibboleth

Führen Sie je nach Umgebung die folgenden Schritte aus:

Beispiel 1. Schritte
System Manager
  1. Klicken Sie Auf Cluster > Einstellungen.

  2. Klicken Sie neben SAML Authentication auf Aktionssymbol.

  3. Vergewissern Sie sich, dass das Kontrollkästchen SAML-Authentifizierung aktivieren aktiviert ist.

  4. Geben Sie die URL des IdP URI ein (einschließlich "https://").

  5. Ändern Sie die Host-System-Adresse, falls erforderlich.

  6. Stellen Sie sicher, dass das richtige Zertifikat verwendet wird:

    • Wenn Ihr System nur mit einem Zertifikat mit dem Typ „Server“ zugeordnet war, wird dieses Zertifikat als Standard betrachtet und nicht angezeigt.

    • Wenn Ihr System mit mehreren Zertifikaten als Servertyp zugeordnet war, wird eines der Zertifikate angezeigt. Um ein anderes Zertifikat auszuwählen, klicken Sie auf Ändern.

  7. Klicken Sie Auf Speichern. In einem Bestätigungsfenster werden die Metadateninformationen angezeigt, die automatisch in die Zwischenablage kopiert wurden.

  8. Gehen Sie zum IdP-System, das Sie angegeben haben, und kopieren Sie die Metadaten aus der Zwischenablage, um die Systemmetadaten zu aktualisieren.

  9. Kehren Sie zum Bestätigungsfenster (im System Manager) zurück und aktivieren Sie das Kontrollkästchen Ich habe den IdP mit dem Host-URI oder Metadaten konfiguriert.

  10. Klicken Sie auf Abmelden, um SAML-basierte Authentifizierung zu aktivieren. Das IdP-System zeigt einen Authentifizierungsbildschirm an.

  11. Geben Sie im IdP-System Ihre SAML-basierten Anmeldedaten ein. Nach der Überprüfung Ihrer Anmeldedaten werden Sie zur System Manager Startseite weitergeleitet.

CLI
  1. SAML-Konfiguration für den Zugriff von ONTAP auf die IdP-Metadaten erstellen:

    security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri Ist die FTP- oder HTTP-Adresse des IdP-Hosts, von dem aus die IdP-Metadaten heruntergeladen werden können.

    ontap_host_name Ist der Hostname oder die IP-Adresse des Hosts des SAML-Dienstanbieters, in diesem Fall das ONTAP-System. Standardmäßig wird die IP-Adresse der Cluster-Management-LIF verwendet.

    Optional können Sie die Zertifikatsinformationen für den ONTAP-Server angeben. Standardmäßig werden die Zertifikatinformationen des ONTAP-Webservers verwendet.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 179] Job succeeded: Access the SAML SP metadata using the URL:
    https://10.0.0.1/saml-sp/Metadata
    
    Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    Die URL für den Zugriff auf die ONTAP-Hostmetadaten wird angezeigt.

  2. Konfigurieren Sie vom IdP-Host aus das IdP mit den ONTAP-Host-Metadaten.

    Weitere Informationen zum Konfigurieren des IdP finden Sie in der IdP-Dokumentation.

  3. SAML-Konfiguration aktivieren:

    security saml-sp modify -is-enabled true

    Jeder vorhandene Benutzer, der auf die http oder ontapi-Anwendung zugreift, wird automatisch für die SAML-Authentifizierung konfiguriert.

  4. Wenn Sie Benutzer für die http ontapi Anwendung OR nach der SAML-Konfiguration erstellen möchten, geben Sie SAML als Authentifizierungsmethode für die neuen Benutzer an.

    1. Erstellen Sie eine Anmeldemethode für neue Benutzer mit SAML-Authentifizierung:
      security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12
    2. Vergewissern Sie sich, dass der Benutzereintrag erstellt wurde:

      security login show

    cluster_12::> security login show
    
    Vserver: cluster_12
                                                                     Second
    User/Group                 Authentication                 Acct   Authentication
    Name           Application Method        Role Name        Locked Method
    -------------- ----------- ------------- ---------------- ------ --------------
    admin          console     password      admin            no     none
    admin          http        password      admin            no     none
    admin          http        saml          admin            -      none
    admin          ontapi      password      admin            no     none
    admin          ontapi      saml          admin            -      none
    admin          service-processor
                               password      admin            no     none
    admin          ssh         password      admin            no     none
    admin1         http        password      backup           no     none
    **admin1       http        saml          backup           -      none**

Deaktivieren Sie die SAML-Authentifizierung

Sie können die SAML-Authentifizierung deaktivieren, wenn Sie die Authentifizierung von Webbenutzern mithilfe eines externen Identitätsanbieters (IdP) beenden möchten. Wenn die SAML-Authentifizierung deaktiviert ist, werden die konfigurierten Verzeichnisdienstanbieter wie Active Directory und LDAP zur Authentifizierung verwendet.

Führen Sie je nach Umgebung die folgenden Schritte aus:

Beispiel 2. Schritte
System Manager
  1. Klicken Sie Auf Cluster > Einstellungen.

  2. Klicken Sie unter SAML Authentication auf die Schaltfläche aktiviert.

  3. Optional: Sie können auch neben SAML Authentication klicken Aktionssymbol und dann das Kontrollkästchen SAML Authentication aktivieren deaktivieren.

CLI
  1. SAML-Authentifizierung deaktivieren:

    security saml-sp modify -is-enabled false

  2. Wenn Sie die SAML-Authentifizierung nicht mehr verwenden möchten oder wenn Sie die IdP ändern möchten, löschen Sie die SAML-Konfiguration:

    security saml-sp delete

Fehlerbehebung bei der SAML-Konfiguration

Wenn die Konfiguration der SAML-Authentifizierung (Security Assertion Markup Language) fehlschlägt, können Sie jeden Knoten, auf dem die SAML-Konfiguration fehlgeschlagen ist, manuell reparieren und nach dem Fehler wiederherstellen. Während der Reparatur wird der Webserver neu gestartet und alle aktiven HTTP-Verbindungen oder HTTPS-Verbindungen werden unterbrochen.

Über diese Aufgabe

Bei der Konfiguration der SAML-Authentifizierung wendet ONTAP pro Node die SAML-Konfiguration an. Wenn Sie die SAML-Authentifizierung aktivieren, versucht ONTAP automatisch, jeden Node bei Konfigurationsproblemen zu reparieren. Wenn Probleme mit der SAML-Konfiguration auf einem beliebigen Node auftreten, können Sie die SAML-Authentifizierung deaktivieren und dann die SAML-Authentifizierung erneut aktivieren. Es kann Situationen geben, in denen die SAML-Konfiguration auf einem oder mehreren Nodes nicht angewendet werden kann, selbst wenn Sie die SAML-Authentifizierung reaktivieren. Sie können den Node identifizieren, auf dem die SAML-Konfiguration ausgefallen ist, und diesen Node manuell reparieren.

Schritte
  1. Melden Sie sich bei der erweiterten Berechtigungsebene an:

    set -privilege advanced

  2. Ermitteln des Knotens, auf dem die SAML-Konfiguration fehlgeschlagen ist:

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: config-failed
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
  3. Reparieren Sie die SAML-Konfiguration auf dem ausgefallenen Node:

    security saml-sp repair -node node_name

    cluster_12::*> security saml-sp repair -node node2
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 181] Job is running.
    [Job 181] Job success.

    Der Webserver wird neu gestartet und alle aktiven HTTP-Verbindungen oder HTTPS-Verbindungen werden unterbrochen.

  4. Vergewissern Sie sich, dass SAML auf allen Knoten erfolgreich konfiguriert wurde:

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: **config-success**
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
Verwandte Informationen

"ONTAP-Befehlsreferenz"