Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren der SAML-Authentifizierung für Remote ONTAP -Benutzer

Beitragende netapp-bhouser netapp-dbagwell netapp-aaron-holt netapp-mwallis netapp-thomi netapp-aherbin
PDFs

Ab ONTAP 9.3 können Sie die SAML-Authentifizierung (Security Assertion Markup Language) für Webdienste konfigurieren. Wenn die SAML-Authentifizierung konfiguriert und aktiviert ist, werden Benutzer von einem externen Identitätsanbieter (IdP) anstelle von Verzeichnisdienstanbietern wie Active Directory und LDAP authentifiziert. Wenn die SAML-Authentifizierung deaktiviert ist, werden die konfigurierten Verzeichnisdienstanbieter wie Active Directory und LDAP zur Authentifizierung verwendet.

Aktivieren Sie die SAML-Authentifizierung

Führen Sie die folgenden Schritte durch, um die SAML-Authentifizierung mit System Manager oder mit der CLI zu aktivieren. Wenn auf Ihrem Cluster ONTAP 9.7 oder eine frühere Version ausgeführt wird, sind die zu befolgenden Schritte in System Manager unterschiedlich. Weitere Informationen finden Sie in der System Manager Online-Hilfe, die auf Ihrem System verfügbar ist.

Hinweis Nach der Aktivierung der SAML-Authentifizierung können nur Remotebenutzer, die für die SAML-Authentifizierung konfiguriert sind, auf die System Manager-GUI zugreifen. Lokale Benutzer können nach der Aktivierung der SAML-Authentifizierung nicht mehr auf die System Manager-GUI zugreifen.

Workflow der Aufgabe zum Einrichten der Multifaktor-Authentifizierung mit SAML

Über diese Aufgabe

  • SAML-Authentifizierung gilt nur für ONTAP http Und ontapi Anwendungen.

    Der http Und ontapi Anwendungen werden von den folgenden Webdiensten verwendet: Service Processor Infrastructure, ONTAP APIs und System Manager.

  • SAML-Authentifizierung ist nur für den Zugriff auf die Administrator-SVM anwendbar.

  • Ab ONTAP 9.17.1 können vom IdP bereitgestellte Gruppeninformationen ONTAP Rollen zugeordnet werden. Dadurch können Sie Benutzern Rollen basierend auf den im IdP definierten Gruppen zuweisen. Weitere Informationen finden Sie unter "Arbeiten mit OAuth 2.0- oder SAML-IdP-Gruppen in ONTAP" .

Die folgenden IDPs wurden mit System Manager validiert:

  • Microsoft Entra ID (validiert mit ONTAP 9.17.1 und höher)

  • Active Directory Federation Services

  • Cisco Duo (validiert mit den folgenden ONTAP -Versionen:)

    • 9.7P21 und höher 9.7 Versionen (siehe "Dokumentation zu System Manager Classic")

    • 9.8P17 und spätere 9.8-Patch-Versionen

    • 9.9.1P13 und spätere 9.9.1-Patch-Versionen

    • 9.10.1P9 und spätere 9.10.1-Patch-Versionen

    • 9.11.1P4 und spätere 9.11.1-Patch-Versionen

    • 9.12.1 und höhere Versionen

  • Shibboleth

Bevor Sie beginnen

  • Der IdP, den Sie für die Fernauthentifizierung verwenden möchten, muss konfiguriert. Sie benötigen die URI des IdP. IdP-URI ist die Webadresse, an die ONTAP Authentifizierungsanfragen sendet und von der es Antworten empfängt.

  • Port 443 muss zwischen dem ONTAP Cluster und dem IdP geöffnet sein.

  • Der ONTAP Cluster und der IdP müssen jeweils den vollqualifizierten Domänennamen des anderen anpingen können. Stellen Sie sicher, dass DNS ordnungsgemäß konfiguriert ist und das Cluster-Zertifikat nicht abgelaufen ist.

  • Fügen Sie bei Bedarf die vertrauenswürdige Zertifizierungsstelle (CA) des IdP zu ONTAP hinzu. Sie können "Verwalten Sie ONTAP -Zertifikate mit System Manager" . Möglicherweise müssen Sie das ONTAP Clusterzertifikat im IdP konfigurieren.

  • Sie müssen auf die ONTAP -Cluster zugreifen können "Serviceprozessor (SP)" Konsole. Wenn SAML falsch konfiguriert ist, müssen Sie es über die SP Konsole deaktivieren.

  • Wenn Sie Entra ID verwenden (gültig ab ONTAP 9.17.1), müssen Sie Entra ID mit den ONTAP Metadaten konfigurieren, bevor Sie die ONTAP SAML-Konfiguration erstellen. Entra ID stellt die IdP-URI erst bereit, wenn sie mit den ONTAP Metadaten konfiguriert ist. Die IdP-URI wird zum Erstellen der ONTAP SAML-Konfiguration benötigt.

    • Wenn Sie SAML mit System Manager konfigurieren, lassen Sie das Feld „IdP-URI“ leer, bis System Manager die ONTAP Metadaten bereitstellt. Konfigurieren Sie die Entra-ID mit den ONTAP Metadaten und kopieren Sie anschließend die IdP-URI in System Manager, bevor Sie die SAML-Konfiguration aktivieren.

    • Wenn Sie SAML über die ONTAP -Befehlszeilenschnittstelle konfigurieren, müssen Sie die ONTAP Metadaten generieren, bevor Sie die ONTAP -SAML-Konfiguration aktivieren. Sie können die ONTAP Metadatendatei mit dem folgenden Befehl generieren:

      security saml-sp default-metadata create -sp-host <ontap_host_name>

      ontap_host_name ist der Hostname oder die IP-Adresse des Hosts des SAML-Dienstanbieters, in diesem Fall des ONTAP Systems. Standardmäßig wird die Cluster-Verwaltungs-IP-Adresse verwendet. Optional können Sie die Zertifikatsinformationen des ONTAP Servers angeben. Standardmäßig werden die Zertifikatsinformationen des ONTAP Webservers verwendet.

    Konfigurieren Sie die Entra-ID mit den bereitgestellten Metadaten. Sie müssen die Entra-ID konfigurieren, bevor Sie die ONTAP SAML-Konfiguration erstellen. Fahren Sie nach der Konfiguration von Entra mit dem folgenden CLI-Verfahren fort.

    • Sie können die ONTAP Metadaten für die Entra-ID erst generieren, wenn alle Knoten im Cluster auf Version 9.17.1 basieren.

Schritte

Führen Sie je nach Umgebung die folgenden Schritte aus:

System Manager

  1. Klicken Sie Auf Cluster > Einstellungen.

  2. Klicken Sie neben SAML Authentication auf Aktionssymbol.

  3. Vergewissern Sie sich, dass das Kontrollkästchen SAML-Authentifizierung aktivieren aktiviert ist.

  4. Geben Sie die URL der IdP-URI ein (einschließlich "https://" ). Wenn Sie Entra ID verwenden, überspringen Sie diesen Schritt.

  5. Ändern Sie bei Bedarf die Hostsystemadresse. Dies ist die Adresse, an die der IdP nach der Authentifizierung weiterleitet. Die Standardeinstellung ist die IP-Adresse der Clusterverwaltung.

  6. Stellen Sie sicher, dass das richtige Zertifikat verwendet wird:

    • Wenn Ihr System nur mit einem Zertifikat mit dem Typ „Server“ zugeordnet war, wird dieses Zertifikat als Standard betrachtet und nicht angezeigt.

    • Wenn Ihr System mit mehreren Zertifikaten als Servertyp zugeordnet war, wird eines der Zertifikate angezeigt. Um ein anderes Zertifikat auszuwählen, klicken Sie auf Ändern.

  7. Klicken Sie Auf Speichern. In einem Bestätigungsfenster werden die Metadateninformationen angezeigt, die automatisch in die Zwischenablage kopiert wurden.

  8. Wechseln Sie zum angegebenen IdP-System und kopieren Sie die Metadaten aus der Zwischenablage, um die Systemmetadaten zu aktualisieren. Wenn Sie Entra ID verwenden, kopieren Sie die IdP-URI in ONTAP, nachdem Sie Entra ID mit den Systemmetadaten konfiguriert haben.

  9. Kehren Sie zum Bestätigungsfenster (im System Manager) zurück und aktivieren Sie das Kontrollkästchen Ich habe den IdP mit dem Host-URI oder Metadaten konfiguriert.

  10. Klicken Sie auf Abmelden, um SAML-basierte Authentifizierung zu aktivieren. Das IdP-System zeigt einen Authentifizierungsbildschirm an.

  11. Geben Sie auf der IdP-Anmeldeseite Ihre SAML-basierten Anmeldeinformationen ein. Nach der Überprüfung Ihrer Anmeldeinformationen werden Sie zur Startseite des System Managers weitergeleitet.

CLI

  1. SAML-Konfiguration für den Zugriff von ONTAP auf die IdP-Metadaten erstellen:

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    idp_uri Ist die FTP- oder HTTP-Adresse des IdP-Hosts, von dem aus die IdP-Metadaten heruntergeladen werden können.

    Hinweis Einige URLs enthalten das Fragezeichen (?). Das Fragezeichen aktiviert die aktive Hilfe der ONTAP Befehlszeile. Um eine URL mit einem Fragezeichen einzugeben, müssen Sie zunächst die aktive Hilfe mit dem Befehl deaktivieren. set -active-help false Die Die aktive Hilfe kann später wieder mit dem Befehl set -active-help true. im "ONTAP-Befehlsreferenz" .

    ontap_host_name Ist der Hostname oder die IP-Adresse des Hosts des SAML-Dienstanbieters, in diesem Fall das ONTAP-System. Standardmäßig wird die IP-Adresse der Cluster-Management-LIF verwendet.

    Optional können Sie die Zertifikatsinformationen für den ONTAP-Server angeben. Standardmäßig werden die Zertifikatinformationen des ONTAP-Webservers verwendet.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.

    Die URL für den Zugriff auf die ONTAP-Hostmetadaten wird angezeigt.

  2. Vom IdP-Host aus Konfigurieren Sie den IdP mit den ONTAP -Host-Metadaten. Wenn Sie die Entra-ID verwenden, haben Sie diesen Schritt bereits abgeschlossen.

  3. Sobald der IdP konfiguriert ist, aktivieren Sie die SAML-Konfiguration:

    security saml-sp modify -is-enabled true

    Jeder vorhandene Benutzer, der auf die http oder ontapi-Anwendung zugreift, wird automatisch für die SAML-Authentifizierung konfiguriert.

  4. Wenn Sie Benutzer für das http oder ontapi Anwendung nach der SAML-Konfiguration, geben Sie SAML als Authentifizierungsmethode für die neuen Benutzer an. Vor ONTAP 9.17.1 wird automatisch ein SAML-Login für bestehende http oder ontapi Benutzer, wenn SAML aktiviert ist. Neue Benutzer müssen für SAML konfiguriert werden. Ab ONTAP 9.17.1 werden alle mit password , domain , oder nsswitch Authentifizierungsmethoden werden automatisch gegenüber dem IdP authentifiziert, wenn SAML aktiviert ist.

    1. Erstellen Sie eine Anmeldemethode für neue Benutzer mit SAML-Authentifizierung . user_name muss mit dem im IdP konfigurierten Benutzernamen übereinstimmen:

      Hinweis Bei dem user_name Wert wird die Groß-/Kleinschreibung berücksichtigt. Schließen Sie nur den Benutzernamen ein, und schließen Sie keinen Teil der Domäne ein.

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      Beispiel:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12

    2. Vergewissern Sie sich, dass der Benutzereintrag erstellt wurde:

      security login show

      Beispiel:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

    + Erfahren Sie mehr über security login show in der "ONTAP-Befehlsreferenz".

Deaktivieren Sie die SAML-Authentifizierung

Sie können die SAML-Authentifizierung deaktivieren, wenn Sie die Authentifizierung von Remote-System-Manager-Benutzern über einen externen Identitätsanbieter (IdP) beenden möchten. Bei deaktivierter SAML-Authentifizierung werden die lokale Benutzerauthentifizierung oder die konfigurierten Verzeichnisdienstanbieter wie Active Directory und LDAP zur Benutzerauthentifizierung verwendet.

Führen Sie je nach Umgebung die folgenden Schritte aus:

Beispiel 1. Schritte
System Manager

  1. Klicken Sie Auf Cluster > Einstellungen.

  2. Klicken Sie unter SAML Authentication auf die Schaltfläche aktiviert.

  3. Optional: Sie können auch neben SAML Authentication klicken Aktionssymbol und dann das Kontrollkästchen SAML Authentication aktivieren deaktivieren.

CLI

  1. SAML-Authentifizierung deaktivieren:

    security saml-sp modify -is-enabled false

  2. Wenn Sie die SAML-Authentifizierung nicht mehr verwenden möchten oder wenn Sie die IdP ändern möchten, löschen Sie die SAML-Konfiguration:

    security saml-sp delete

Konfigurieren eines Drittanbieter-IdP

Über diese Aufgabe

Um sich bei ONTAP zu authentifizieren, müssen Sie möglicherweise die Einstellungen Ihres IdP ändern. Die folgenden Abschnitte enthalten Konfigurationsinformationen für unterstützte IdPs.

Eintragungs-ID

Erstellen Sie beim Konfigurieren von Entra ID eine neue Anwendung und konfigurieren Sie die SAML-Anmeldung mit den von ONTAP bereitgestellten Metadaten. Bearbeiten Sie nach der Anwendungserstellung den Abschnitt „Attribute und Ansprüche“ der SAML-Anwendungseinstellungen wie folgt:

Einstellung Wert

Name

urn:oid:0.9.2342.19200300.100.1.1

Namespace

Leer lassen

Namensformat

URI

Quelle

Attribut

Quellattribut

Benutzer.Benutzerprinzipalname

Wenn Sie Gruppen mit Entra-ID verwenden möchten, fügen Sie einen Gruppenanspruch mit den folgenden Einstellungen hinzu:

Einstellung Wert

Name

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Namespace

Leer lassen

Quellattribut

Gruppen-ID

Entra ID stellt Gruppeninformationen im UUID-Format bereit. Weitere Informationen zur Verwendung von Gruppen mit Entra ID finden Sie unter "Verwalten von Gruppen mit UUIDs" .

Die im Abschnitt „SAML-Zertifikat“ der SAML-Einstellungen der Anwendung angegebene App Federation Metadata URL ist die IdP-URI, die Sie in ONTAP eingeben.

Informationen zur Konfiguration der Entra ID Multifaktor-Authentifizierung finden Sie unter "Planen einer Microsoft Entra-Multifaktor-Authentifizierungsbereitstellung" .

Weitere Informationen finden Sie im "Entra-ID-Dokumentation" .

Active Directory Federation Services

Beim Konfigurieren von Active Directory Federation Services (AD FS) müssen Sie eine neue, anspruchsorientierte Vertrauensstellung (Relying Party Trust) mit den von ONTAP bereitgestellten Service-Provider-Metadaten hinzufügen. Sobald die Vertrauensstellung erstellt ist, fügen Sie der Anspruchsausstellungsrichtlinie der Vertrauensstellungsstelle mithilfe der Vorlage „LDAP-Attribute als Ansprüche senden“ die folgenden Anspruchsregeln hinzu:

Attributspeicher LDAP-Attribut Ausgehender Anspruchstyp

Active Directory

SAM-Kontoname

Namens-ID

Active Directory

SAM-Kontoname

urn:oid:0.9.2342.19200300.100.1.1

Active Directory

Namensformat

urn:oasis:names:tc:SAML:2.0:attrname-format:uri

Active Directory

Tokengruppen – Qualifiziert durch Domänennamen

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Active Directory

sAMAccountName

urn:oid:1.2.840.113556.1.4.221

AD FS stellt Gruppeninformationen im Namensformat bereit. Weitere Informationen zur Verwendung von Gruppen mit AD FS finden Sie unter "Verwalten von Gruppen mit Namen" .

Weitere Informationen finden Sie im "AD FS-Dokumentation" .

Cisco Duo

Weitere Informationen finden Sie im "Cisco Duo-Dokumentation" für Konfigurationsinformationen.

Shibboleth

Vor der Konfiguration des Shibboleth-IdP müssen Sie einen LDAP-Server konfiguriert haben.

Wenn Sie SAML auf ONTAP aktivieren, speichern Sie die bereitgestellten Host-Metadaten-XML. Ersetzen Sie auf dem Host, auf dem Shibboleth installiert ist, den Inhalt von metadata/sp-metadata.xml mit der Host-Metadaten-XML im Shibboleth IdP-Stammverzeichnis.

Weitere Informationen finden Sie unter "Shibboleth" .

Fehlerbehebung bei der SAML-Konfiguration

Wenn die Konfiguration der SAML-Authentifizierung (Security Assertion Markup Language) fehlschlägt, können Sie jeden Knoten, auf dem die SAML-Konfiguration fehlgeschlagen ist, manuell reparieren und nach dem Fehler wiederherstellen. Während der Reparatur wird der Webserver neu gestartet und alle aktiven HTTP-Verbindungen oder HTTPS-Verbindungen werden unterbrochen.

Über diese Aufgabe

Bei der Konfiguration der SAML-Authentifizierung wendet ONTAP pro Node die SAML-Konfiguration an. Wenn Sie die SAML-Authentifizierung aktivieren, versucht ONTAP automatisch, jeden Node bei Konfigurationsproblemen zu reparieren. Wenn Probleme mit der SAML-Konfiguration auf einem beliebigen Node auftreten, können Sie die SAML-Authentifizierung deaktivieren und dann die SAML-Authentifizierung erneut aktivieren. Es kann Situationen geben, in denen die SAML-Konfiguration auf einem oder mehreren Nodes nicht angewendet werden kann, selbst wenn Sie die SAML-Authentifizierung reaktivieren. Sie können den Node identifizieren, auf dem die SAML-Konfiguration ausgefallen ist, und diesen Node manuell reparieren.

Schritte

  1. Melden Sie sich bei der erweiterten Berechtigungsebene an:

    set -privilege advanced

  2. Ermitteln des Knotens, auf dem die SAML-Konfiguration fehlgeschlagen ist:

    security saml-sp status show -instance

    Beispiel:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Erfahren Sie mehr über security saml-sp status show in der "ONTAP-Befehlsreferenz".

  3. Reparieren Sie die SAML-Konfiguration auf dem ausgefallenen Node:

    security saml-sp repair -node <node_name>

    Beispiel:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Der Webserver wird neu gestartet und alle aktiven HTTP-Verbindungen oder HTTPS-Verbindungen werden unterbrochen.

    Erfahren Sie mehr über security saml-sp repair in der "ONTAP-Befehlsreferenz".

  4. Vergewissern Sie sich, dass SAML auf allen Knoten erfolgreich konfiguriert wurde:

    security saml-sp status show -instance

    Beispiel:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Erfahren Sie mehr über security saml-sp status show in der "ONTAP-Befehlsreferenz".

Verwandte Informationen