Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer l'authentification SAML pour les utilisateurs ONTAP distants

Contributeurs netapp-bhouser netapp-dbagwell netapp-aaron-holt netapp-mwallis netapp-thomi netapp-aherbin
PDF

À partir d' ONTAP 9.3, vous pouvez configurer l'authentification SAML (Security Assertion Markup Language) pour les services Web. Lorsque l'authentification SAML est configurée et activée, les utilisateurs sont authentifiés par un fournisseur d'identité (IdP) externe plutôt que par les fournisseurs de services d'annuaire tels qu'Active Directory et LDAP. Lorsque l'authentification SAML est désactivée, les fournisseurs de services d'annuaire configurés, tels qu'Active Directory et LDAP, sont utilisés pour l'authentification.

Activez l'authentification SAML

Pour activer l'authentification SAML avec System Manager ou l'interface de ligne de commandes, effectuez les opérations suivantes. Si votre cluster exécute ONTAP 9.7 ou une version antérieure, les étapes à suivre dans System Manager sont différentes. Consultez l'aide en ligne de System Manager disponible sur votre système.

Remarque Une fois l'authentification SAML activée, seuls les utilisateurs distants configurés pour l'authentification SAML peuvent accéder à l'interface utilisateur graphique de System Manager. Les utilisateurs locaux ne peuvent pas accéder à l'interface utilisateur graphique de System Manager après l'activation de l'authentification SAML.

Workflow de la tâche de configuration de l'authentification multifacteur avec SAML

Description de la tâche

  • L'authentification SAML s'applique uniquement à ONTAP http et ontapi candidatures.

    Le http et ontapi les applications sont utilisées par les services Web suivants : Service Processor Infrastructure, API ONTAP et System Manager.

  • L'authentification SAML est applicable uniquement pour l'accès au SVM d'administration.

  • Depuis ONTAP 9.17.1, les informations de groupe fournies par l'IdP peuvent être associées aux rôles ONTAP . Cela permet d'attribuer des rôles aux utilisateurs en fonction des groupes définis dans l'IdP. Pour plus d'informations, consultez la section "Travailler avec des groupes IdP OAuth 2.0 ou SAML dans ONTAP" .

Les PDI suivants ont été validés avec System Manager :

  • ID Microsoft Entra (validé avec ONTAP 9.17.1 et versions ultérieures)

  • Services de fédération Active Directory

  • Cisco Duo (validé avec les versions ONTAP suivantes :)

    • 9.7P21 et versions ultérieures 9.7 (voir "Documentation de System Manager Classic")

    • Versions de correctifs 9.8P17 et ultérieures 9.8

    • Versions de correctifs 9.9.1P13 et ultérieures 9.9.1

    • Versions de correctifs 9.10.1P9 et ultérieures 9.10.1

    • Versions de correctifs 9.11.1P4 et ultérieures 9.11.1

    • versions 9.12.1 et ultérieures

  • Hurlent

Avant de commencer

  • L'IdP que vous prévoyez d'utiliser pour l'authentification à distance doit être configuré. Vous devez connaître l'URI de l'IdP. URI de l'IdP est l'adresse Web à laquelle ONTAP envoie les requêtes d'authentification et reçoit les réponses.

  • Le port 443 doit être ouvert entre le cluster ONTAP et l'IdP.

  • Le cluster ONTAP et l'IdP doivent chacun pouvoir pinger le nom de domaine complet de l'autre. Assurez-vous que le DNS est correctement configuré et que le certificat du cluster n'est pas expiré.

  • Si nécessaire, ajoutez l'autorité de certification (CA) de confiance du fournisseur d'identité à ONTAP. Vous pouvez "gérer les certificats ONTAP avec System Manager" . Vous devrez peut-être configurer le certificat de cluster ONTAP dans l'IdP.

  • Vous devez pouvoir accéder au cluster ONTAP "Processeur de service (SP)" console. Si SAML est mal configuré, vous devrez le désactiver depuis la console SP .

  • Si vous utilisez Entra ID (validé à partir d' ONTAP 9.17.1), vous devez configurer Entra ID avec les métadonnées ONTAP avant de créer la configuration SAML ONTAP . Entra ID ne fournira pas l'URI IdP tant qu'il n'aura pas été configuré avec les métadonnées ONTAP . L'URI IdP est requis pour créer la configuration SAML ONTAP .

    • Si vous utilisez System Manager pour configurer SAML, laissez le champ URI IdP vide jusqu'à ce que System Manager fournisse les métadonnées ONTAP . Configurez l'ID Entra avec les métadonnées ONTAP , puis copiez l'URI IdP dans System Manager avant d'activer la configuration SAML.

    • Si vous utilisez l'interface de ligne de commande ONTAP pour configurer SAML, vous devez générer les métadonnées ONTAP avant d'activer la configuration SAML ONTAP . Vous pouvez générer le fichier de métadonnées ONTAP avec la commande suivante :

      security saml-sp default-metadata create -sp-host <ontap_host_name>

      ontap_host_name est le nom d'hôte ou l'adresse IP de l'hôte du fournisseur de services SAML, qui, dans ce cas, est le système ONTAP . Par défaut, l'adresse IP de gestion du cluster est utilisée. Vous pouvez éventuellement fournir les informations du certificat du serveur ONTAP . Par défaut, les informations du certificat du serveur Web ONTAP sont utilisées.

    Configurez l'ID Entra avec les métadonnées fournies. Vous devez configurer l'ID Entra avant de créer la configuration SAML ONTAP . Une fois Entra configuré, suivez la procédure CLI ci-dessous.

    • Vous ne pouvez pas générer les métadonnées ONTAP pour Entra ID tant que tous les nœuds du cluster ne sont pas sur la version 9.17.1.

Étapes

Effectuez les opérations suivantes en fonction de votre environnement :

System Manager

  1. Cliquez sur Cluster > Paramètres.

  2. En regard de SAML Authentication, cliquez sur Icône actions.

  3. Vérifiez que la case Activer l'authentification SAML est cochée.

  4. Saisissez l'URL de l'URI IdP (y compris "https://" ). Si vous utilisez Entra ID, ignorez cette étape.

  5. Modifiez l'adresse du système hôte si nécessaire. Il s'agit de l'adresse vers laquelle l'IdP redirigera après l'authentification. L'adresse par défaut est l'adresse IP de gestion du cluster.

  6. Assurez-vous que le bon certificat est utilisé :

    • Si votre système a été mappé avec un seul certificat de type « serveur », ce certificat est considéré comme le certificat par défaut et il n'est pas affiché.

    • Si votre système a été mappé avec plusieurs certificats comme type « serveur », l'un des certificats s'affiche. Pour sélectionner un autre certificat, cliquez sur Modifier.

  7. Cliquez sur Enregistrer. Une fenêtre de confirmation affiche les informations sur les métadonnées, qui ont été automatiquement copiées dans le presse-papiers.

  8. Accédez au système IdP spécifié et copiez les métadonnées depuis votre presse-papiers pour les mettre à jour. Si vous utilisez Entra ID, copiez l'URI IdP dans ONTAP après avoir configuré Entra ID avec les métadonnées système.

  9. Revenez à la fenêtre de confirmation (dans System Manager) et cochez la case J'ai configuré le IDP avec l'URI hôte ou les métadonnées.

  10. Cliquez sur Déconnexion pour activer l'authentification SAML. Le système IDP affiche un écran d'authentification.

  11. Sur la page de connexion de l'IdP, saisissez vos identifiants SAML. Une fois vos identifiants vérifiés, vous serez redirigé vers la page d'accueil du Gestionnaire système.

CLI

  1. Créez une configuration SAML pour que ONTAP puisse accéder aux métadonnées IDP :

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    idp_uri Est l'adresse FTP ou HTTP de l'hôte IDP à partir de laquelle les métadonnées IDP peuvent être téléchargées.

    Remarque Certaines URL contiennent un point d'interrogation (?). Ce point active l'aide active de la ligne de commande ONTAP . Pour saisir une URL avec un point d'interrogation, vous devez d'abord désactiver l'aide active avec la commande. set -active-help false . L'aide active peut être réactivée ultérieurement avec la commande set -active-help true . En savoir plus dans le "Référence de commande ONTAP" .

    ontap_host_name Est le nom d'hôte ou l'adresse IP de l'hôte du fournisseur de services SAML, qui, dans le cas présent, correspond au système ONTAP. Par défaut, l'adresse IP de la LIF de cluster-management est utilisée.

    Vous pouvez éventuellement fournir les informations de certificat de serveur ONTAP. Par défaut, les informations de certificat de serveur Web ONTAP sont utilisées.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.

    L'URL permettant d'accéder aux métadonnées de l'hôte ONTAP s'affiche.

  2. Depuis l'hôte IdP, configurer l'IdP avec les métadonnées de l'hôte ONTAP . Si vous utilisez Entra ID, vous avez déjà effectué cette étape.

  3. Une fois l'IdP configuré, activez la configuration SAML :

    security saml-sp modify -is-enabled true

    Tout utilisateur existant qui accède à l' http ou ontapi L'application est automatiquement configurée pour l'authentification SAML.

  4. Si vous souhaitez créer des utilisateurs pour le http ou ontapi Après la configuration de SAML, spécifiez SAML comme méthode d'authentification pour les nouveaux utilisateurs. Avant ONTAP 9.17.1, une connexion SAML était automatiquement créée pour les utilisateurs existants. http ou ontapi utilisateurs lorsque SAML est activé. Les nouveaux utilisateurs doivent être configurés pour SAML. À partir d' ONTAP 9.17.1, tous les utilisateurs créés avec password , domain , ou nsswitch les méthodes d'authentification sont automatiquement authentifiées auprès de l'IdP lorsque SAML est activé.

    1. Créez une méthode de connexion pour les nouveaux utilisateurs avec authentification SAML . user_name doit correspondre au nom d'utilisateur configuré dans l'IdP :

      Remarque La user_name valeur est sensible à la casse. N'incluez que le nom d'utilisateur et n'incluez aucune partie du domaine.

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      Exemple :

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12

    2. Vérifiez que l'entrée utilisateur est créée :

      security login show

      Exemple :

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

    + Pour en savoir plus, security login show consultez le "Référence de commande ONTAP".

Désactivez l'authentification SAML

Vous pouvez désactiver l'authentification SAML si vous souhaitez arrêter l'authentification des utilisateurs distants du Gestionnaire système auprès d'un fournisseur d'identité externe (IdP). Lorsque l'authentification SAML est désactivée, l'authentification des utilisateurs locaux ou les fournisseurs de services d'annuaire configurés, tels qu'Active Directory et LDAP, sont utilisés pour authentifier les utilisateurs.

Effectuez les opérations suivantes en fonction de votre environnement :

Exemple 1. Étapes
System Manager

  1. Cliquez sur Cluster > Paramètres.

  2. Sous authentification SAML, cliquez sur le bouton bascule activé.

  3. Facultatif: Vous pouvez également cliquer sur Icône actions en regard de SAML Authentication, puis décocher la case Activer l'authentification SAML.

CLI

  1. Désactiver l'authentification SAML :

    security saml-sp modify -is-enabled false

  2. Si vous ne souhaitez plus utiliser l'authentification SAML ou si vous souhaitez modifier l'IDP, supprimez la configuration SAML :

    security saml-sp delete

Configurer un IdP tiers

Description de la tâche

Pour vous authentifier avec ONTAP, vous devrez peut-être modifier les paramètres de votre fournisseur d'identité. Les sections suivantes fournissent des informations de configuration pour les fournisseurs d'identité pris en charge.

ID de l'Entra

Lors de la configuration d'Entra ID, créez une nouvelle application et configurez l'authentification SAML avec les métadonnées fournies par ONTAP. Une fois l'application créée, modifiez la section « Attributs et revendications » des paramètres SAML de l'application pour qu'elle corresponde aux valeurs suivantes :

Réglage Valeur

Nom

urn:oid:0.9.2342.19200300.100.1.1

Espace de noms

Laisser vide

Format du nom

URI

Source

Attribut

Attribut source

utilisateur.userprincipalname

Si vous souhaitez utiliser des groupes avec Entra ID, ajoutez une revendication de groupe avec les paramètres suivants :

Réglage Valeur

Nom

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Espace de noms

Laisser vide

Attribut source

ID de groupe

Entra ID fournit des informations de groupe au format UUID. Pour plus d'informations sur l'utilisation des groupes avec Entra ID, consultez "Gestion des groupes avec des UUID" .

L'URL des métadonnées de la fédération d'applications fournie dans la section « Certificat SAML » des paramètres SAML de l'application est l'URI IdP que vous saisirez dans ONTAP.

Pour plus d'informations sur la configuration de l'authentification multifacteur Entra ID, reportez-vous à "Planifier un déploiement d'authentification multifacteur Microsoft Entra" .

Pour plus d'informations, reportez-vous à la "Documentation d'identification Entra" .

Services de fédération Active Directory

Lors de la configuration des services de fédération Active Directory (AD FS), vous devez ajouter une nouvelle approbation de partie de confiance prenant en charge les revendications, avec les métadonnées du fournisseur de services fournies par ONTAP. Une fois l'approbation de partie de confiance créée, ajoutez les règles de revendication suivantes à sa politique d'émission de revendications à l'aide du modèle « Envoyer les attributs LDAP comme revendications » :

Magasin d'attributs attribut LDAP Type de réclamation sortante

Active Directory

nom-du-compte-SAM

Nom d'identification

Active Directory

nom-du-compte-SAM

urn:oid:0.9.2342.19200300.100.1.1

Active Directory

Format du nom

urne:oasis:noms:tc:SAML:2.0:attrname-format:uri

Active Directory

Groupes de jetons - Qualifiés par nom de domaine

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Active Directory

sAMAccountName

urn:oid:1.2.840.113556.1.4.221

AD FS fournit des informations sur les groupes sous forme de noms. Pour plus d'informations sur l'utilisation des groupes avec AD FS, consultez "Gérer les groupes avec des noms" .

Pour plus d'informations, reportez-vous à la "Documentation AD FS" .

Duo Cisco

Se référer à la "Documentation Cisco Duo" pour les informations de configuration.

Hurlent

Avant de configurer l'IdP Shibboleth, vous devez avoir configuré un serveur LDAP.

Lors de l'activation de SAML sur ONTAP, enregistrez le fichier XML de métadonnées d'hôte fourni. Sur l'hôte où Shibboleth est installé, remplacez le contenu de metadata/sp-metadata.xml avec les métadonnées XML de l'hôte dans le répertoire personnel de Shibboleth IdP.

Pour plus d'informations, reportez-vous à "Hurlent" .

Résolution des problèmes liés à la configuration SAML

Si la configuration de l'authentification SAML échoue, vous pouvez réparer manuellement chaque nœud sur lequel la configuration SAML a échoué et effectuer une restauration suite à la défaillance. Au cours du processus de réparation, le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.

Description de la tâche

Lorsque vous configurez l'authentification SAML, ONTAP applique la configuration SAML par nœud. Lorsque vous activez l'authentification SAML, ONTAP tente automatiquement de réparer chaque nœud en cas de problèmes de configuration. Si la configuration SAML est problématique sur n'importe quel nœud, vous pouvez désactiver l'authentification SAML, puis réactiver l'authentification SAML. Lorsque la configuration SAML ne s'applique pas à un ou plusieurs nœuds, même après la réactivation de l'authentification SAML, cela peut se présenter. Vous pouvez identifier le nœud sur lequel la configuration SAML a échoué, puis réparer manuellement ce nœud.

Étapes

  1. Connectez-vous au niveau de privilège avancé :

    set -privilege advanced

  2. Identifiez le nœud sur lequel la configuration SAML a échoué :

    security saml-sp status show -instance

    Exemple :

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Pour en savoir plus, security saml-sp status show consultez le "Référence de commande ONTAP".

  3. Corrigez la configuration SAML sur le nœud défaillant :

    security saml-sp repair -node <node_name>

    Exemple :

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.

    Pour en savoir plus, security saml-sp repair consultez le "Référence de commande ONTAP".

  4. Vérifiez que le langage SAML est configuré sur tous les nœuds :

    security saml-sp status show -instance

    Exemple :

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Pour en savoir plus, security saml-sp status show consultez le "Référence de commande ONTAP".

Informations associées