Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la autenticación SAML

Colaboradores
PDF

A partir de ONTAP 9.3, puede configurar la autenticación del lenguaje de marcado de aserción de seguridad (SAML) para los servicios web. Cuando se configura y se habilita la autenticación SAML, los usuarios se autentican mediante un proveedor de identidades (IDP) externo en lugar de los proveedores de servicio de directorio, como Active Directory y LDAP.

Habilite la autenticación SAML

Para habilitar la autenticación SAML con System Manager o con la CLI, realice los siguientes pasos. Si el clúster ejecuta ONTAP 9,7 o una versión anterior, los pasos que debe seguir son diferentes. Consulte la ayuda en línea de System Manager disponible en su sistema.

Nota Después de habilitar la autenticación SAML, solo los usuarios remotos pueden acceder a la interfaz gráfica de usuario de System Manager. Los usuarios locales no pueden acceder a la interfaz gráfica de usuario de System Manager después de habilitar la autenticación de SAML.

Diagrama de flujo de trabajo de la tarea para configurar la autenticación multfactor con SAML

Antes de empezar

  • Se debe configurar el IDP que se planea usar para la autenticación remota.

    Nota

    Consulte la documentación proporcionada por el IDP que se configuró.

  • Debe tener el URI del IDP.

Acerca de esta tarea

  • La autenticación SAML solo se aplica a http y.. ontapi más grandes.

    La http y.. ontapi Las aplicaciones se utilizan en los siguientes servicios web: Infraestructura de procesador de servicio, API de ONTAP o System Manager.

  • La autenticación SAML solo se aplica para acceder a la SVM de administrador.

Los siguientes IDP se han validado con System Manager:

  • Servicios de federación de Active Directory

  • Cisco DUO (validado con las siguientes versiones de ONTAP:)

    • 9.7P21 y versiones posteriores de 9,7 (consulte la "Documentación de System Manager Classic")

    • 9.8P17 y versiones posteriores de 9,8

    • 9,9.1P13 y versiones posteriores de 9,9

    • 9.10.1P9 y versiones posteriores de 9,10

    • 9.11.1P4 y versiones posteriores de 9,11

    • 9.12.1 y versiones posteriores

  • Shibboleth

Siga estos pasos en función de su entorno:

Ejemplo 1. Pasos
System Manager

  1. Haga clic en clúster > Configuración.

  2. Junto a autenticación SAML, haga clic en icono de marcha.

  3. Asegúrese de que haya una Marca en la casilla de verificación Habilitar autenticación SAML.

  4. Introduzca la URL del URI del IDP (incluido "https://").

  5. Modifique la dirección del sistema host, si es necesario.

  6. Asegúrese de utilizar el certificado correcto:

    • Si su sistema sólo se ha asignado con un certificado con el tipo "servidor", ese certificado se considera el predeterminado y no se muestra.

    • Si su sistema estaba asignado con varios certificados como tipo "servidor", se muestra uno de los certificados. Para seleccionar un certificado diferente, haga clic en Cambiar.

  7. Haga clic en Guardar. Una ventana de confirmación muestra la información de metadatos, que se ha copiado automáticamente en el portapapeles.

  8. Vaya al sistema IDP especificado y copie los metadatos del portapapeles para actualizar los metadatos del sistema.

  9. Vuelva a la ventana de confirmación (en System Manager) y marque la casilla de verificación he configurado el IDP con el URI de host o metadatos.

  10. Haga clic en Cerrar sesión para activar la autenticación basada en SAML. El sistema IDP mostrará una pantalla de autenticación.

  11. En el sistema IDP, introduzca las credenciales basadas en SAML. Una vez verificadas las credenciales, se le dirigirá a la página de inicio de System Manager.

CLI

  1. Cree una configuración de SAML para que ONTAP pueda acceder a los metadatos de IDP:

    security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri Es la dirección FTP o HTTP del host IDP desde el que se pueden descargar los metadatos de IDP.

    ontap_host_name Es el nombre de host o la dirección IP del host del proveedor de servicios SAML que, en este caso, es el sistema ONTAP. De manera predeterminada, se utiliza la dirección IP de la LIF de administración del clúster.

    Opcionalmente, puede proporcionar la información de certificado del servidor ONTAP. De manera predeterminada, se utiliza la información de certificado de servidor web ONTAP.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    Se muestra la URL para acceder a los metadatos del host ONTAP.

  2. Desde el host IDP, configure el IDP con los metadatos del host ONTAP.

    Para obtener más información sobre cómo configurar el IDP, consulte la documentación de IDP.

  3. Habilitar la configuración de SAML:

    security saml-sp modify -is-enabled true

    Cualquier usuario existente que acceda a http o. ontapi La aplicación se configura automáticamente para la autenticación SAML.

  4. Si desea crear usuarios para http o. ontapi Aplicación después de configurar SAML, especifique SAML como método de autenticación de los nuevos usuarios.

    1. Cree un método de inicio de sesión para usuarios nuevos con autenticación SAML:

      security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12

    2. Compruebe que se ha creado la entrada de usuario:

      security login show

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
**admin1       http        saml          backup           -      none**

Deshabilite la autenticación SAML

Es posible deshabilitar la autenticación SAML cuando se desea detener la autenticación de usuarios web mediante un proveedor de identidades (IDP) externo. Cuando se deshabilita la autenticación SAML, los proveedores de servicios de directorio configurados, como Active Directory y LDAP, se usan para la autenticación.

Siga estos pasos en función de su entorno:

Ejemplo 2. Pasos
System Manager

  1. Haga clic en clúster > Configuración.

  2. En autenticación SAML, haga clic en el botón de alternar Activado.

  3. Opcional: También puede hacer clic en icono de marcha Junto a autenticación SAML y, a continuación, desactive la casilla de verificación Activar autenticación SAML.

CLI

  1. Deshabilitar la autenticación SAML:

    security saml-sp modify -is-enabled false

  2. Si ya no desea usar autenticación SAML o si desea modificar el IDP, elimine la configuración de SAML:

    security saml-sp delete

Solucione problemas de la configuración de SAML

Si se produce un error al configurar la autenticación del lenguaje de marcado de aserción de seguridad (SAML), puede reparar manualmente cada nodo en el que falló la configuración de SAML y recuperarse del error. Durante el proceso de reparación, se reinicia el servidor web y se interrumpen todas las conexiones HTTP o HTTPS activas.

Acerca de esta tarea

Cuando se configura la autenticación SAML, ONTAP aplica la configuración de SAML por nodo. Cuando habilita la autenticación SAML, ONTAP intenta reparar automáticamente cada nodo si existen problemas de configuración. Si hay problemas con la configuración de SAML en cualquier nodo, puede deshabilitar la autenticación SAML y luego volver a habilitar la autenticación SAML. Puede haber situaciones en las que la configuración de SAML no pueda aplicarse en uno o varios nodos incluso después de volver a habilitar la autenticación SAML. Puede identificar el nodo en el que falló la configuración de SAML y reparar manualmente ese nodo.

Pasos

  1. Inicie sesión en el nivel de privilegio avanzado:

    set -privilege advanced

  2. Identifique el nodo en el que no pudo realizarse la configuración de SAML:

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

  3. Repare la configuración de SAML en el nodo con errores:

    security saml-sp repair -node node_name

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Se reinicia el servidor web y se interrumpen las conexiones HTTP o HTTPS activas.

  4. Compruebe que SAML se haya configurado correctamente en todos los nodos:

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: **config-success**
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.
Información relacionada

"Comandos de ONTAP 9"