Configurar la autenticación SAML
Sugerir cambios
PDF
A partir de ONTAP 9.3, puede configurar la autenticación del lenguaje de marcado de aserción de seguridad (SAML) para los servicios web. Cuando se configura y se habilita la autenticación SAML, los usuarios se autentican mediante un proveedor de identidades (IDP) externo en lugar de los proveedores de servicio de directorio, como Active Directory y LDAP.
Habilite la autenticación SAML
Para habilitar la autenticación SAML con System Manager o con la CLI, realice los siguientes pasos. Si el clúster ejecuta ONTAP 9,7 o una versión anterior, los pasos que debe seguir son diferentes. Consulte la ayuda en línea de System Manager disponible en su sistema.
|
Después de habilitar la autenticación SAML, solo los usuarios remotos pueden acceder a la interfaz gráfica de usuario de System Manager. Los usuarios locales no pueden acceder a la interfaz gráfica de usuario de System Manager después de habilitar la autenticación de SAML. |
-
Se debe configurar el IDP que se planea usar para la autenticación remota.
Consulte la documentación proporcionada por el IDP que se configuró.
-
Debe tener el URI del IDP.
-
La autenticación SAML solo se aplica a
httpy..ontapimás grandes.La
httpy..ontapiLas aplicaciones se utilizan en los siguientes servicios web: Infraestructura de procesador de servicio, API de ONTAP o System Manager. -
La autenticación SAML solo se aplica para acceder a la SVM de administrador.
Los siguientes IDP se han validado con System Manager:
-
Servicios de federación de Active Directory
-
Cisco DUO (validado con las siguientes versiones de ONTAP:)
-
9.7P21 y versiones posteriores de 9,7 (consulte la "Documentación de System Manager Classic")
-
9.8P17 y versiones posteriores de 9,8
-
9,9.1P13 y versiones posteriores de 9,9
-
9.10.1P9 y versiones posteriores de 9,10
-
9.11.1P4 y versiones posteriores de 9,11
-
9.12.1 y versiones posteriores
-
-
Shibboleth
Siga estos pasos en función de su entorno:
-
Haga clic en clúster > Configuración.
-
Junto a Autenticación SAML, haga clic en
. -
Asegúrese de que haya una Marca en la casilla de verificación Habilitar autenticación SAML.
-
Introduzca la URL del URI del IDP (incluido "https://").
-
Modifique la dirección del sistema host, si es necesario.
-
Asegúrese de utilizar el certificado correcto:
-
Si su sistema sólo se ha asignado con un certificado con el tipo "servidor", ese certificado se considera el predeterminado y no se muestra.
-
Si su sistema estaba asignado con varios certificados como tipo "servidor", se muestra uno de los certificados. Para seleccionar un certificado diferente, haga clic en Cambiar.
-
-
Haga clic en Guardar. Una ventana de confirmación muestra la información de metadatos, que se ha copiado automáticamente en el portapapeles.
-
Vaya al sistema IDP especificado y copie los metadatos del portapapeles para actualizar los metadatos del sistema.
-
Vuelva a la ventana de confirmación (en System Manager) y marque la casilla de verificación he configurado el IDP con el URI de host o metadatos.
-
Haga clic en Cerrar sesión para activar la autenticación basada en SAML. El sistema IDP mostrará una pantalla de autenticación.
-
En el sistema IDP, introduzca las credenciales basadas en SAML. Una vez verificadas las credenciales, se le dirigirá a la página de inicio de System Manager.
-
Cree una configuración de SAML para que ONTAP pueda acceder a los metadatos de IDP:
security saml-sp create -idp-uri idp_uri -sp-host ontap_host_nameidp_uriEs la dirección FTP o HTTP del host IDP desde el que se pueden descargar los metadatos de IDP.ontap_host_nameEs el nombre de host o la dirección IP del host del proveedor de servicios SAML que, en este caso, es el sistema ONTAP. De manera predeterminada, se utiliza la dirección IP de la LIF de administración del clúster.Opcionalmente, puede proporcionar la información de certificado del servidor ONTAP. De manera predeterminada, se utiliza la información de certificado de servidor web ONTAP.
cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 179] Job succeeded: Access the SAML SP metadata using the URL: https://10.0.0.1/saml-sp/Metadata Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.Se muestra la URL para acceder a los metadatos del host ONTAP.
-
Desde el host IDP, configure el IDP con los metadatos del host ONTAP.
Para obtener más información sobre cómo configurar el IDP, consulte la documentación de IDP.
-
Habilitar la configuración de SAML:
security saml-sp modify -is-enabled trueCualquier usuario existente que acceda a
httpo.ontapiLa aplicación se configura automáticamente para la autenticación SAML. -
Si desea crear usuarios para
httpo.ontapiAplicación después de configurar SAML, especifique SAML como método de autenticación de los nuevos usuarios.-
Cree un método de inicio de sesión para usuarios nuevos con autenticación SAML:
security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_namecluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12
-
Compruebe que se ha creado la entrada de usuario:
security login show
cluster_12::> security login show Vserver: cluster_12 Second User/Group Authentication Acct Authentication Name Application Method Role Name Locked Method -------------- ----------- ------------- ---------------- ------ -------------- admin console password admin no none admin http password admin no none admin http saml admin - none admin ontapi password admin no none admin ontapi saml admin - none admin service-processor password admin no none admin ssh password admin no none admin1 http password backup no none **admin1 http saml backup - none** -
Deshabilite la autenticación SAML
Es posible deshabilitar la autenticación SAML cuando se desea detener la autenticación de usuarios web mediante un proveedor de identidades (IDP) externo. Cuando se deshabilita la autenticación SAML, los proveedores de servicios de directorio configurados, como Active Directory y LDAP, se usan para la autenticación.
Siga estos pasos en función de su entorno:
-
Haga clic en clúster > Configuración.
-
En autenticación SAML, haga clic en el botón de alternar Activado.
-
Opcional: También puede hacer clic
junto a Autenticación SAML, y luego desmarcar la casilla de verificación Habilitar Autenticación SAML.
-
Deshabilitar la autenticación SAML:
security saml-sp modify -is-enabled false -
Si ya no desea usar autenticación SAML o si desea modificar el IDP, elimine la configuración de SAML:
security saml-sp delete
Solucione problemas de la configuración de SAML
Si se produce un error al configurar la autenticación del lenguaje de marcado de aserción de seguridad (SAML), puede reparar manualmente cada nodo en el que falló la configuración de SAML y recuperarse del error. Durante el proceso de reparación, se reinicia el servidor web y se interrumpen todas las conexiones HTTP o HTTPS activas.
Cuando se configura la autenticación SAML, ONTAP aplica la configuración de SAML por nodo. Cuando habilita la autenticación SAML, ONTAP intenta reparar automáticamente cada nodo si existen problemas de configuración. Si hay problemas con la configuración de SAML en cualquier nodo, puede deshabilitar la autenticación SAML y luego volver a habilitar la autenticación SAML. Puede haber situaciones en las que la configuración de SAML no pueda aplicarse en uno o varios nodos incluso después de volver a habilitar la autenticación SAML. Puede identificar el nodo en el que falló la configuración de SAML y reparar manualmente ese nodo.
-
Inicie sesión en el nivel de privilegio avanzado:
set -privilege advanced -
Identifique el nodo en el que no pudo realizarse la configuración de SAML:
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-failed Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file. SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed. -
Repare la configuración de SAML en el nodo con errores:
security saml-sp repair -node node_namecluster_12::*> security saml-sp repair -node node2 Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 181] Job is running. [Job 181] Job success.Se reinicia el servidor web y se interrumpen las conexiones HTTP o HTTPS activas.
-
Compruebe que SAML se haya configurado correctamente en todos los nodos:
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: **config-success** Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.