Configurez SAML
Pour configurer l'authentification pour Access Management, vous pouvez utiliser les fonctionnalités SAML (Security assertion Markup Language) intégrées à la matrice de stockage. Cette configuration établit une connexion entre un fournisseur d'identité et le fournisseur de stockage.
Un fournisseur d'identité (IDP) est un système externe utilisé pour demander des informations d'identification à un utilisateur et déterminer si cet utilisateur est correctement authentifié. Le IDP peut être configuré pour fournir une authentification multifacteur et utiliser n'importe quelle base de données utilisateur, telle qu'Active Directory. Votre équipe de sécurité est responsable du maintien du PDI. Un SP (Service Provider) est un système qui contrôle l'authentification des utilisateurs et l'accès. Lorsque Access Management est configuré avec SAML, la baie de stockage agit comme fournisseur de services pour demander l'authentification auprès du fournisseur d'identités. Pour établir une connexion entre le IDP et la matrice de stockage, vous partagez les fichiers de métadonnées entre ces deux entités. Ensuite, vous associez les entités utilisateur IDP aux rôles de baie de stockage. Enfin, vous testez la connexion et les connexions SSO avant d'activer SAML.
SAML et les services d'annuaire. Si vous activez SAML lorsque Directory Services est configuré en tant que méthode d'authentification, SAML remplace Directory Services dans System Manager. Si vous désactivez SAML ultérieurement, la configuration Directory Services retourne à sa configuration précédente. |
Modification et désactivation. une fois le langage SAML activé, vous ne pouvez pas le désactiver via l'interface utilisateur, ni modifier les paramètres IDP. Si vous devez désactiver ou modifier la configuration SAML, contactez le support technique pour obtenir de l'aide. |
La configuration de l'authentification SAML est une procédure en plusieurs étapes :
Étape 1 : téléchargez le fichier de métadonnées IDP
Pour fournir à la baie de stockage des informations de connexion IDP, vous importez ces métadonnées dans System Manager.
-
Vous devez être connecté avec un profil utilisateur qui inclut les autorisations d'administrateur de sécurité. Dans le cas contraire, les fonctions de gestion des accès ne s'affichent pas.
-
Un administrateur IDP a configuré un système IDP.
-
Un administrateur IDP s'est assuré que le IDP prend en charge la possibilité de renvoyer un ID de nom lors de l'authentification.
-
Un administrateur s'est assuré que les horloges du serveur IDP et du contrôleur sont synchronisées (via un serveur NTP ou en ajustant les paramètres d'horloge du contrôleur).
-
Un fichier de métadonnées IDP est téléchargé depuis le système IDP et disponible sur le système local utilisé pour accéder à System Manager.
Dans cette tâche, vous téléchargez un fichier de métadonnées depuis l'IDP dans System Manager. Le système IDP a besoin de ces métadonnées pour rediriger les demandes d'authentification vers l'URL correcte et valider les réponses reçues. Il vous suffit de charger un seul fichier de métadonnées pour la baie de stockage, même s'il existe deux contrôleurs.
-
Sélectionnez
. -
Sélectionnez l'onglet SAML.
La page affiche un aperçu des étapes de configuration.
-
Cliquez sur le lien Import Identity Provider (IDP) file.
La boîte de dialogue Importer le fichier du fournisseur d'identités s'ouvre.
-
Cliquez sur Parcourir pour sélectionner et télécharger le fichier de métadonnées IDP que vous avez copié sur votre système local.
Une fois le fichier sélectionné, l'ID entité IDP s'affiche.
-
Cliquez sur Importer.
Étape 2 : exporter les fichiers du fournisseur de services
Pour établir une relation de confiance entre le fournisseur de services intégré et la baie de stockage, vous importez les métadonnées du fournisseur de services dans le fournisseur de services intégré.
-
Vous connaissez l'adresse IP ou le nom de domaine de chaque contrôleur de la matrice de stockage.
Dans cette tâche, vous exportez les métadonnées des contrôleurs (un fichier par contrôleur). Le PDI a besoin de ces métadonnées pour établir une relation de confiance avec les contrôleurs et traiter les demandes d'autorisation. Le fichier contient des informations telles que le nom de domaine du contrôleur ou l'adresse IP, afin que le IDP puisse communiquer avec les fournisseurs de services.
-
Cliquez sur le lien Exporter les fichiers du fournisseur de services.
La boîte de dialogue Exporter les fichiers du fournisseur de services s'ouvre.
-
Entrez l'adresse IP du contrôleur ou le nom DNS dans le champ Controller A, puis cliquez sur Exporter pour enregistrer le fichier de métadonnées sur votre système local. Si la matrice de stockage comprend deux contrôleurs, répétez cette étape pour le second contrôleur dans le champ Controller B.
Après avoir cliqué sur Exporter, les métadonnées du fournisseur de services sont téléchargées sur votre système local. Notez l'emplacement de stockage du fichier.
-
À partir du système local, recherchez le ou les fichiers de métadonnées du Service Provider que vous avez exportés.
Il existe un fichier au format XML pour chaque contrôleur.
-
À partir du serveur IDP, importez le ou les fichiers de métadonnées du fournisseur de services pour établir la relation de confiance. Vous pouvez importer les fichiers directement ou saisir manuellement les informations du contrôleur à partir des fichiers.
Étape 3 : rôles de carte
Pour fournir aux utilisateurs l'autorisation et l'accès à System Manager, vous devez mapper les attributs d'utilisateur du fournisseur intégré et les membres de groupes aux rôles prédéfinis de la baie de stockage.
-
Un administrateur IDP a configuré les attributs utilisateur et l'appartenance au groupe dans le système IDP.
-
Le fichier de métadonnées IDP est importé dans System Manager.
-
Un fichier de métadonnées Service Provider pour chaque contrôleur est importé dans le système IDP pour la relation de confiance.
Dans cette tâche, vous utilisez System Manager pour mapper les groupes IDP aux rôles d'utilisateur local.
-
Cliquez sur le lien permettant de mapper les rôles de System Manager.
La boîte de dialogue Role Mapping s'ouvre.
-
Attribuez des attributs utilisateur IDP et des groupes aux rôles prédéfinis. Un groupe peut avoir plusieurs rôles attribués.
Détails du champ
Réglage Description Mappages
Attribut utilisateur
Spécifiez l'attribut (par exemple, « membre de ») pour le groupe SAML à mapper.
Valeur d'attribut
Spécifiez la valeur d'attribut du groupe à mapper.
Rôles
Le rôle Monitor est requis pour tous les utilisateurs, y compris l'administrateur. System Manager ne fonctionnera pas correctement pour un utilisateur sans le rôle Monitor présent.
-
Si vous le souhaitez, cliquez sur Ajouter un autre mappage pour entrer plus de mappages de groupe à rôle.
Les mappages de rôles peuvent être modifiés après l'activation de SAML.
-
Lorsque vous avez terminé les mappages, cliquez sur Enregistrer.
Étape 4 : testez la connexion SSO
Pour vous assurer que le système IDP et la matrice de stockage peuvent communiquer, vous pouvez éventuellement tester une connexion SSO. Ce test est également effectué au cours de la dernière étape de l'activation de SAML.
-
Le fichier de métadonnées IDP est importé dans System Manager.
-
Un fichier de métadonnées Service Provider pour chaque contrôleur est importé dans le système IDP pour la relation de confiance.
-
Sélectionnez le lien Test SSO Login.
Une boîte de dialogue s'ouvre pour saisir les informations d'identification SSO.
-
Saisissez les informations d'identification d'un utilisateur disposant des autorisations d'administrateur de sécurité et de contrôle.
Une boîte de dialogue s'ouvre pendant que le système teste la connexion.
-
Rechercher un message Test réussi. Si le test s'exécute correctement, passez à l'étape suivante pour l'activation de SAML.
Si le test ne s'effectue pas correctement, un message d'erreur s'affiche avec des informations supplémentaires. Assurez-vous que :
-
L'utilisateur appartient à un groupe avec des autorisations pour Security Admin et Monitor.
-
Les métadonnées que vous avez téléchargées pour le serveur IDP sont correctes.
-
Les adresses de contrôleur dans les fichiers de métadonnées du processeur de service sont correctes.
-
Étape 5 : activer SAML
La dernière étape consiste à activer l'authentification utilisateur SAML.
-
Le fichier de métadonnées IDP est importé dans System Manager.
-
Un fichier de métadonnées Service Provider pour chaque contrôleur est importé dans le système IDP pour la relation de confiance.
-
Au moins un mappage de rôle moniteur et administrateur de sécurité est configuré.
Cette tâche décrit comment terminer la configuration SAML pour l'authentification des utilisateurs. Au cours de ce processus, le système vous demande également de tester une connexion SSO. Le processus de test de connexion SSO est décrit à l'étape précédente.
Modification et désactivation. une fois le langage SAML activé, vous ne pouvez pas le désactiver via l'interface utilisateur, ni modifier les paramètres IDP. Si vous devez désactiver ou modifier la configuration SAML, contactez le support technique pour obtenir de l'aide. |
-
Dans l'onglet SAML, sélectionnez le lien Activer SAML.
La boîte de dialogue confirmer l'activation de SAML s'ouvre.
-
Type
enable
, Puis cliquez sur Activer. -
Saisissez les informations d'identification de l'utilisateur pour un test de connexion SSO.
Une fois que le système active SAML, il met fin à toutes les sessions actives et commence à authentifier les utilisateurs via SAML.