Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurez l'authentification SAML

Contributeurs

Depuis ONTAP 9.3, vous pouvez configurer l'authentification SAML pour les services Web. Lorsque l'authentification SAML est configurée et activée, les utilisateurs sont authentifiés par un fournisseur d'identité externe (IDP) au lieu des fournisseurs de services d'annuaire tels qu'Active Directory et LDAP.

Activez l'authentification SAML

Pour activer l'authentification SAML avec System Manager ou l'interface de ligne de commandes, effectuez les opérations suivantes. Si votre cluster exécute ONTAP 9.7 ou une version antérieure, les étapes à suivre dans System Manager sont différentes. Consultez l'aide en ligne de System Manager disponible sur votre système.

Remarque Après avoir activé l'authentification SAML, seuls les utilisateurs distants peuvent accéder à l'interface graphique de System Manager. Les utilisateurs locaux ne peuvent pas accéder à l'interface graphique de System Manager après l'authentification SAML.

Schéma de workflow de la tâche pour configurer l'authentification multifacteur avec SAML

Avant de commencer
  • Le IDP que vous envisagez d'utiliser pour l'authentification à distance doit être configuré.

    Remarque

    Consultez la documentation fournie par le PDI que vous avez configuré.

  • Vous devez avoir l'URI du IDP.

Description de la tâche
  • L'authentification SAML s'applique uniquement au http et ontapi en termes de latence.

    Le http et ontapi Les applications sont utilisées par les services web suivants : infrastructure processeur de service, API ONTAP ou System Manager.

  • L'authentification SAML est applicable uniquement pour l'accès au SVM d'administration.

Les PDI suivants ont été validés avec System Manager :

  • Services de fédération Active Directory

  • Cisco DUO (validé avec les versions ONTAP suivantes :)

    • 9.7P21 et versions ultérieures 9.7 (voir "Documentation de System Manager Classic")

    • 9.8P17 et versions ultérieures 9.8

    • 9.9.1P13 et versions ultérieures 9.9

    • 9.10.1P9 et versions ultérieures 9.10

    • 9.11.1P4 et versions ultérieures 9.11

    • versions 9.12.1 et ultérieures

  • Hurlent

Effectuez les opérations suivantes en fonction de votre environnement :

Exemple 1. Étapes
System Manager
  1. Cliquez sur Cluster > Paramètres.

  2. En regard de authentification SAML, cliquez sur icône de vitesse.

  3. Vérifiez que la case Activer l'authentification SAML est cochée.

  4. Entrez l'URL de l'URI IDP (y compris "https://").

  5. Modifiez l'adresse du système hôte, si nécessaire.

  6. Assurez-vous que le bon certificat est utilisé :

    • Si votre système a été mappé avec un seul certificat de type « serveur », ce certificat est considéré comme le certificat par défaut et il n'est pas affiché.

    • Si votre système a été mappé avec plusieurs certificats comme type « serveur », l'un des certificats s'affiche. Pour sélectionner un autre certificat, cliquez sur Modifier.

  7. Cliquez sur Enregistrer. Une fenêtre de confirmation affiche les informations sur les métadonnées, qui ont été automatiquement copiées dans le presse-papiers.

  8. Accédez au système IDP que vous avez spécifié et copiez les métadonnées de votre presse-papiers pour mettre à jour les métadonnées système.

  9. Revenez à la fenêtre de confirmation (dans System Manager) et cochez la case J'ai configuré le IDP avec l'URI hôte ou les métadonnées.

  10. Cliquez sur Déconnexion pour activer l'authentification SAML. Le système IDP affiche un écran d'authentification.

  11. Dans le système IDP, saisissez vos identifiants SAML. Une fois vos identifiants vérifiés, vous accédez à la page d'accueil de System Manager.

CLI
  1. Créez une configuration SAML pour que ONTAP puisse accéder aux métadonnées IDP :

    security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri Est l'adresse FTP ou HTTP de l'hôte IDP à partir de laquelle les métadonnées IDP peuvent être téléchargées.

    ontap_host_name Est le nom d'hôte ou l'adresse IP de l'hôte du fournisseur de services SAML, qui, dans le cas présent, correspond au système ONTAP. Par défaut, l'adresse IP de la LIF de cluster-management est utilisée.

    Vous pouvez éventuellement fournir les informations de certificat de serveur ONTAP. Par défaut, les informations de certificat de serveur Web ONTAP sont utilisées.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 179] Job succeeded: Access the SAML SP metadata using the URL:
    https://10.0.0.1/saml-sp/Metadata
    
    Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    L'URL permettant d'accéder aux métadonnées de l'hôte ONTAP s'affiche.

  2. À partir de l'hôte IDP, configurez le IDP avec les métadonnées de l'hôte ONTAP.

    Pour plus d'informations sur la configuration du IDP, reportez-vous à la documentation IDP.

  3. Activer la configuration SAML :

    security saml-sp modify -is-enabled true

    Tout utilisateur existant qui accède à l' http ou ontapi L'application est automatiquement configurée pour l'authentification SAML.

  4. Si vous souhaitez créer des utilisateurs pour le http ou ontapi Application après la configuration de SAML, spécifiez SAML comme méthode d'authentification pour les nouveaux utilisateurs.

    1. Créez une méthode de connexion pour les nouveaux utilisateurs avec l'authentification SAML :

      security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12
    2. Vérifiez que l'entrée utilisateur est créée :

      security login show

    cluster_12::> security login show
    
    Vserver: cluster_12
                                                                     Second
    User/Group                 Authentication                 Acct   Authentication
    Name           Application Method        Role Name        Locked Method
    -------------- ----------- ------------- ---------------- ------ --------------
    admin          console     password      admin            no     none
    admin          http        password      admin            no     none
    admin          http        saml          admin            -      none
    admin          ontapi      password      admin            no     none
    admin          ontapi      saml          admin            -      none
    admin          service-processor
                               password      admin            no     none
    admin          ssh         password      admin            no     none
    admin1         http        password      backup           no     none
    **admin1       http        saml          backup           -      none**

Désactivez l'authentification SAML

Vous pouvez désactiver l'authentification SAML lorsque vous souhaitez arrêter l'authentification des utilisateurs Web à l'aide d'un fournisseur d'identité externe (IDP). Lorsque l'authentification SAML est désactivée, les fournisseurs de services d'annuaire configurés tels qu'Active Directory et LDAP sont utilisés pour l'authentification.

Effectuez les opérations suivantes en fonction de votre environnement :

Exemple 2. Étapes
System Manager
  1. Cliquez sur Cluster > Paramètres.

  2. Sous authentification SAML, cliquez sur le bouton bascule activé.

  3. Facultatif : vous pouvez également cliquer sur icône de vitesse En regard de SAML Authentication, puis décochez la case Activer l'authentification SAML.

CLI
  1. Désactiver l'authentification SAML :

    security saml-sp modify -is-enabled false

  2. Si vous ne souhaitez plus utiliser l'authentification SAML ou si vous souhaitez modifier l'IDP, supprimez la configuration SAML :

    security saml-sp delete

Résolution des problèmes liés à la configuration SAML

Si la configuration de l'authentification SAML échoue, vous pouvez réparer manuellement chaque nœud sur lequel la configuration SAML a échoué et effectuer une restauration suite à la défaillance. Au cours du processus de réparation, le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.

Description de la tâche

Lorsque vous configurez l'authentification SAML, ONTAP applique la configuration SAML par nœud. Lorsque vous activez l'authentification SAML, ONTAP tente automatiquement de réparer chaque nœud en cas de problèmes de configuration. Si la configuration SAML est problématique sur n'importe quel nœud, vous pouvez désactiver l'authentification SAML, puis réactiver l'authentification SAML. Lorsque la configuration SAML ne s'applique pas à un ou plusieurs nœuds, même après la réactivation de l'authentification SAML, cela peut se présenter. Vous pouvez identifier le nœud sur lequel la configuration SAML a échoué, puis réparer manuellement ce nœud.

Étapes
  1. Connectez-vous au niveau de privilège avancé :

    set -privilege advanced

  2. Identifiez le nœud sur lequel la configuration SAML a échoué :

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: config-failed
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
  3. Corrigez la configuration SAML sur le nœud défaillant :

    security saml-sp repair -node node_name

    cluster_12::*> security saml-sp repair -node node2
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 181] Job is running.
    [Job 181] Job success.

    Le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.

  4. Vérifiez que le langage SAML est configuré sur tous les nœuds :

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: **config-success**
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
Informations associées

"Commandes de ONTAP 9"