Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la autenticación SAML para usuarios remotos de ONTAP

Colaboradores netapp-bhouser netapp-dbagwell netapp-aaron-holt netapp-mwallis netapp-thomi netapp-aherbin
PDF

A partir de ONTAP 9.3, puede configurar la autenticación SAML (Lenguaje de Marcado para Aserciones de Seguridad) para servicios web. Cuando la autenticación SAML está configurada y habilitada, los usuarios se autentican mediante un proveedor de identidad (IdP) externo en lugar de proveedores de servicios de directorio como Active Directory y LDAP. Cuando la autenticación SAML está deshabilitada, se utilizan los proveedores de servicios de directorio configurados, como Active Directory y LDAP, para la autenticación.

Habilite la autenticación SAML

Para habilitar la autenticación SAML con System Manager o con la CLI, realice los siguientes pasos. Si el clúster ejecuta ONTAP 9,7 o una versión anterior, los pasos que debe seguir son diferentes. Consulte la ayuda en línea de System Manager disponible en su sistema.

Nota Tras habilitar la autenticación SAML, solo los usuarios remotos configurados para la autenticación SAML podrán acceder a la GUI del Administrador del Sistema. Los usuarios locales no podrán acceder a la GUI del Administrador del Sistema una vez habilitada la autenticación SAML.

Flujo de trabajo de la tarea para configurar la autenticación multifactor con SAML

Acerca de esta tarea

  • La autenticación SAML se aplica únicamente a ONTAP http y ontapi aplicaciones.

    El http y ontapi Las aplicaciones son utilizadas por los siguientes servicios web: Infraestructura del procesador de servicios, API de ONTAP y Administrador del sistema.

  • La autenticación SAML solo se aplica para acceder a la SVM de administrador.

  • A partir de ONTAP 9.17.1, la información de grupo proporcionada por el IdP se puede asignar a roles de ONTAP . Esto permite asignar roles a los usuarios según los grupos definidos en el IdP. Para obtener más información, consulte "Trabajar con grupos IdP de OAuth 2.0 o SAML en ONTAP" .

Los siguientes IDP se han validado con System Manager:

  • ID de Microsoft Entra (validado con ONTAP 9.17.1 y versiones posteriores)

  • Servicios de federación de Active Directory

  • Cisco Duo (validado con las siguientes versiones de ONTAP :)

    • 9.7P21 y versiones posteriores de 9,7 (consulte la "Documentación de System Manager Classic")

    • Versiones del parche 9.8P17 y posteriores

    • Versiones del parche 9.9.1P13 y posteriores

    • Versiones del parche 9.10.1P9 y posteriores 9.10.1

    • Versiones del parche 9.11.1P4 y posteriores

    • 9.12.1 y versiones posteriores

  • Shibboleth

Antes de empezar

  • El IdP que planea utilizar para la autenticación remota debe ser configurado. Debe tener la URI del IdP. La URI del IdP es la dirección web a la que ONTAP envía las solicitudes de autenticación y de la que recibe las respuestas

  • El puerto 443 debe estar abierto entre el clúster ONTAP y el IdP.

  • El clúster de ONTAP y el IdP deben poder hacer ping al nombre de dominio completo del otro. Asegúrese de que el DNS esté configurado correctamente y que el certificado del clúster no esté caducado.

  • Si es necesario, agregue la autoridad de certificación (CA) de confianza del IdP a ONTAP. Puede "Administrar certificados ONTAP con el Administrador del sistema" Es posible que necesite configurar el certificado del clúster ONTAP en el IdP.

  • Debe poder acceder al clúster ONTAP "Procesador de servicios (SP)" consola. Si SAML está mal configurado, deberá deshabilitarlo desde la consola del SP .

  • Si utiliza Entra ID (validado a partir de ONTAP 9.17.1), debe configurarlo con los metadatos de ONTAP antes de crear la configuración SAML de ONTAP . Entra ID no proporcionará la URI del IdP hasta que se configure con los metadatos de ONTAP . La URI del IdP es necesaria para crear la configuración SAML de ONTAP .

    • Si utiliza el Administrador del sistema para configurar SAML, deje el campo URI del IdP en blanco hasta que el Administrador del sistema proporcione los metadatos de ONTAP . Configure el ID de Entra con los metadatos de ONTAP y, a continuación, copie el URI del IdP en el Administrador del sistema antes de habilitar la configuración de SAML.

    • Si utiliza la CLI de ONTAP para configurar SAML, debe generar los metadatos de ONTAP antes de habilitar la configuración de SAML de ONTAP . Puede generar el archivo de metadatos de ONTAP con el siguiente comando:

      security saml-sp default-metadata create -sp-host <ontap_host_name>

      ontap_host_name Es el nombre de host o la dirección IP del host del proveedor de servicios SAML, que en este caso es el sistema ONTAP . De forma predeterminada, se utiliza la dirección IP de administración del clúster. Opcionalmente, puede proporcionar la información del certificado del servidor ONTAP . De forma predeterminada, se utiliza la información del certificado del servidor web ONTAP .

    Configure Entra ID con los metadatos proporcionados. Debe configurar Entra ID antes de crear la configuración SAML de ONTAP . Una vez configurado Entra, siga el siguiente procedimiento de la CLI.

    • No se pueden generar los metadatos de ONTAP para Entra ID hasta que todos los nodos del clúster tengan la versión 9.17.1.

Pasos

Siga estos pasos en función de su entorno:

System Manager

  1. Haga clic en clúster > Configuración.

  2. Junto a Autenticación SAML, haga clic en El icono Actions.

  3. Asegúrese de que haya una Marca en la casilla de verificación Habilitar autenticación SAML.

  4. Introduzca la URL del URI del IdP (incluido "https://" ). Si está utilizando Entra ID, omita este paso.

  5. Modifique la dirección del sistema host, si es necesario. Esta es la dirección a la que el IdP dirigirá tras la autenticación. La dirección IP predeterminada es la de administración del clúster.

  6. Asegúrese de utilizar el certificado correcto:

    • Si su sistema sólo se ha asignado con un certificado con el tipo "servidor", ese certificado se considera el predeterminado y no se muestra.

    • Si su sistema estaba asignado con varios certificados como tipo "servidor", se muestra uno de los certificados. Para seleccionar un certificado diferente, haga clic en Cambiar.

  7. Haga clic en Guardar. Una ventana de confirmación muestra la información de metadatos, que se ha copiado automáticamente en el portapapeles.

  8. Vaya al sistema IdP que especificó y copie los metadatos del portapapeles para actualizarlos. Si usa Entra ID, copie la URI del IdP en ONTAP después de configurar Entra ID con los metadatos del sistema.

  9. Vuelva a la ventana de confirmación (en System Manager) y marque la casilla de verificación he configurado el IDP con el URI de host o metadatos.

  10. Haga clic en Cerrar sesión para activar la autenticación basada en SAML. El sistema IDP mostrará una pantalla de autenticación.

  11. En la página de inicio de sesión del IdP, introduzca sus credenciales basadas en SAML. Una vez verificadas, accederá a la página principal de System Manager.

CLI

  1. Cree una configuración de SAML para que ONTAP pueda acceder a los metadatos de IDP:

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    idp_uri Es la dirección FTP o HTTP del host de IdP desde el que se pueden descargar los metadatos de IdP.

    Nota Algunas URL incluyen el signo de interrogación (?). Este signo activa la ayuda activa de la línea de comandos de ONTAP . Para introducir una URL con un signo de interrogación, primero debe desactivar la ayuda activa con el comando. set -active-help false La ayuda activa se puede volver a habilitar posteriormente con el comando set -active-help true . Obtenga más información en el "Referencia de comandos del ONTAP" .

    ontap_host_name Es el nombre de host o la dirección IP del host del proveedor de servicios SAML que, en este caso, es el sistema ONTAP. De manera predeterminada, se utiliza la dirección IP de la LIF de administración del clúster.

    Opcionalmente, puede proporcionar la información de certificado del servidor ONTAP. De manera predeterminada, se utiliza la información de certificado de servidor web ONTAP.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.

    Se muestra la URL para acceder a los metadatos del host ONTAP.

  2. Desde el host IdP, configurar el IdP Con los metadatos del host de ONTAP . Si usa Entra ID, ya ha completado este paso.

  3. Una vez configurado el IdP, habilite la configuración de SAML:

    security saml-sp modify -is-enabled true

    Cualquier usuario existente que acceda a la http ontapi aplicación o se configura automáticamente para la autenticación SAML.

  4. Si desea crear usuarios para el http o ontapi Una vez configurada la aplicación SAML, especifique SAML como método de autenticación para los nuevos usuarios. Antes de ONTAP 9.17.1, se creaba automáticamente un inicio de sesión SAML para los usuarios existentes. http o ontapi usuarios cuando SAML está habilitado. Los nuevos usuarios deben configurarse para SAML. A partir de ONTAP 9.17.1, todos los usuarios creados con password , domain , o nsswitch Los métodos de autenticación se autentican automáticamente contra el IdP cuando SAML está habilitado.

    1. Cree un método de inicio de sesión para nuevos usuarios con autenticación SAML . user_name debe coincidir con el nombre de usuario configurado en el IdP:

      Nota `user_name`El valor distingue entre mayúsculas y minúsculas. Incluya solo el nombre de usuario y no incluya ninguna parte del dominio.

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      Ejemplo:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12

    2. Compruebe que se ha creado la entrada de usuario:

      security login show

      Ejemplo:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

    + Obtenga más información sobre security login show en el "Referencia de comandos del ONTAP".

Deshabilitar la autenticación SAML

Puede deshabilitar la autenticación SAML si desea dejar de autenticar usuarios remotos de System Manager con un proveedor de identidad (IdP) externo. Cuando la autenticación SAML está deshabilitada, se utiliza la autenticación de usuarios locales o los proveedores de servicios de directorio configurados, como Active Directory y LDAP, para autenticar a los usuarios.

Siga estos pasos en función de su entorno:

Ejemplo 1. Pasos
System Manager

  1. Haga clic en clúster > Configuración.

  2. En autenticación SAML, haga clic en el botón de alternar Activado.

  3. Opcional: También puede hacer clic El icono Actions junto a Autenticación SAML, y luego desmarcar la casilla de verificación Habilitar Autenticación SAML.

CLI

  1. Deshabilitar la autenticación SAML:

    security saml-sp modify -is-enabled false

  2. Si ya no desea usar autenticación SAML o si desea modificar el IDP, elimine la configuración de SAML:

    security saml-sp delete

Configurar IdP de terceros

Acerca de esta tarea

Para autenticarse con ONTAP, es posible que deba cambiar la configuración de su proveedor de identidad (IdP). Las siguientes secciones proporcionan información de configuración para los IdP compatibles.

ID Entra

Al configurar Entra ID, cree una nueva aplicación y configure el inicio de sesión SAML con los metadatos proporcionados por ONTAP. Una vez creada la aplicación, edite la sección "Atributos y notificaciones" de la configuración SAML de la aplicación para que coincida con lo siguiente:

Ajuste Valor

Nombre

urna:oid:0.9.2342.19200300.100.1.1

Espacio de nombres

Dejar en blanco

Formato de nombre

URI

Origen

Atributo

Atributo de origen

usuario.nombreprincipaldelusuario

Si desea utilizar grupos con Entra ID, agregue un reclamo de grupo con la siguiente configuración:

Ajuste Valor

Nombre

urna:oid:1.3.6.1.4.1.5923.1.5.1.1

Espacio de nombres

Dejar en blanco

Atributo de origen

ID de grupo

Entra ID proporciona información de grupo en formato UUID. Para obtener más información sobre el uso de grupos con Entra ID, consulte "Gestionar grupos con UUID" .

La URL de metadatos de federación de la aplicación proporcionada en la sección "Certificado SAML" de la configuración SAML de la aplicación es la URI del IdP que ingresará en ONTAP.

Para obtener información sobre cómo configurar la autenticación multifactor de Entra ID, consulte "Planificar una implementación de autenticación multifactor de Microsoft Entra" .

Para obtener más información, consulte la "Documentación de identificación de entrada" .

Servicios de federación de Active Directory

Al configurar los Servicios de Federación de Active Directory (AD FS), debe agregar una nueva confianza de usuario autenticado que admita notificaciones con los metadatos del proveedor de servicios proporcionados por ONTAP. Una vez creada la confianza de usuario autenticado, agregue las siguientes reglas de notificación a su Política de Emisión de Notificaciones mediante la plantilla "Enviar Atributos LDAP como Notificaciones":

Tienda de atributos Atributo LDAP Tipo de reclamación saliente

Active Directory

Nombre de la cuenta SAM

Identificación del nombre

Active Directory

Nombre de la cuenta SAM

urna:oid:0.9.2342.19200300.100.1.1

Active Directory

Formato del nombre

urna:oasis:nombres:tc:SAML:2.0:attrname-format:uri

Active Directory

Grupos de tokens: calificados por nombre de dominio

urna:oid:1.3.6.1.4.1.5923.1.5.1.1

Active Directory

nombreDeCuentaSAMA

urna:oid:1.2.840.113556.1.4.221

AD FS proporciona información de grupo en formato de nombre. Para obtener más información sobre el uso de grupos con AD FS, consulte "Gestionar grupos con nombres" .

Para obtener más información, consulte la "Documentación de AD FS" .

Cisco Duo

Consulte la "Documentación de Cisco Duo" para obtener información de configuración.

Shibboleth

Antes de configurar el IdP de Shibboleth, debe haber configurado un servidor LDAP.

Al habilitar SAML en ONTAP, guarde el XML de metadatos del host proporcionado. En el host donde esté instalado Shibboleth, reemplace el contenido de metadata/sp-metadata.xml con los metadatos del host XML dentro del directorio de inicio de Shibboleth IdP.

Para obtener más información, consulte "Shibboleth" .

Solucione problemas de la configuración de SAML

Si se produce un error al configurar la autenticación del lenguaje de marcado de aserción de seguridad (SAML), puede reparar manualmente cada nodo en el que falló la configuración de SAML y recuperarse del error. Durante el proceso de reparación, se reinicia el servidor web y se interrumpen todas las conexiones HTTP o HTTPS activas.

Acerca de esta tarea

Cuando se configura la autenticación SAML, ONTAP aplica la configuración de SAML por nodo. Cuando habilita la autenticación SAML, ONTAP intenta reparar automáticamente cada nodo si existen problemas de configuración. Si hay problemas con la configuración de SAML en cualquier nodo, puede deshabilitar la autenticación SAML y luego volver a habilitar la autenticación SAML. Puede haber situaciones en las que la configuración de SAML no pueda aplicarse en uno o varios nodos incluso después de volver a habilitar la autenticación SAML. Puede identificar el nodo en el que falló la configuración de SAML y reparar manualmente ese nodo.

Pasos

  1. Inicie sesión en el nivel de privilegio avanzado:

    set -privilege advanced

  2. Identifique el nodo en el que no pudo realizarse la configuración de SAML:

    security saml-sp status show -instance

    Ejemplo:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Obtenga más información sobre security saml-sp status show en el "Referencia de comandos del ONTAP".

  3. Repare la configuración de SAML en el nodo con errores:

    security saml-sp repair -node <node_name>

    Ejemplo:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Se reinicia el servidor web y se interrumpen las conexiones HTTP o HTTPS activas.

    Obtenga más información sobre security saml-sp repair en el "Referencia de comandos del ONTAP".

  4. Compruebe que SAML se haya configurado correctamente en todos los nodos:

    security saml-sp status show -instance

    Ejemplo:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Obtenga más información sobre security saml-sp status show en el "Referencia de comandos del ONTAP".

Información relacionada