Configurer l'authentification SAML pour les utilisateurs ONTAP distants
À partir d' ONTAP 9.3, vous pouvez configurer l'authentification SAML (Security Assertion Markup Language) pour les services Web. Lorsque l'authentification SAML est configurée et activée, les utilisateurs sont authentifiés par un fournisseur d'identité (IdP) externe plutôt que par les fournisseurs de services d'annuaire tels qu'Active Directory et LDAP. Lorsque l'authentification SAML est désactivée, les fournisseurs de services d'annuaire configurés, tels qu'Active Directory et LDAP, sont utilisés pour l'authentification.
Activez l'authentification SAML
Pour activer l'authentification SAML avec System Manager ou l'interface de ligne de commandes, effectuez les opérations suivantes. Si votre cluster exécute ONTAP 9.7 ou une version antérieure, les étapes à suivre dans System Manager sont différentes. Consultez l'aide en ligne de System Manager disponible sur votre système.
|
Une fois l'authentification SAML activée, seuls les utilisateurs distants configurés pour l'authentification SAML peuvent accéder à l'interface utilisateur graphique de System Manager. Les utilisateurs locaux ne peuvent pas accéder à l'interface utilisateur graphique de System Manager après l'activation de l'authentification SAML. |
-
L'authentification SAML s'applique uniquement à ONTAP
http
etontapi
candidatures.Le
http
etontapi
les applications sont utilisées par les services Web suivants : Service Processor Infrastructure, API ONTAP et System Manager. -
L'authentification SAML est applicable uniquement pour l'accès au SVM d'administration.
-
Depuis ONTAP 9.17.1, les informations de groupe fournies par l'IdP peuvent être associées aux rôles ONTAP . Cela permet d'attribuer des rôles aux utilisateurs en fonction des groupes définis dans l'IdP. Pour plus d'informations, consultez la section "Travailler avec des groupes IdP OAuth 2.0 ou SAML dans ONTAP" .
Les PDI suivants ont été validés avec System Manager :
-
ID Microsoft Entra (validé avec ONTAP 9.17.1 et versions ultérieures)
-
Services de fédération Active Directory
-
Cisco Duo (validé avec les versions ONTAP suivantes :)
-
9.7P21 et versions ultérieures 9.7 (voir "Documentation de System Manager Classic")
-
Versions de correctifs 9.8P17 et ultérieures 9.8
-
Versions de correctifs 9.9.1P13 et ultérieures 9.9.1
-
Versions de correctifs 9.10.1P9 et ultérieures 9.10.1
-
Versions de correctifs 9.11.1P4 et ultérieures 9.11.1
-
versions 9.12.1 et ultérieures
-
-
Hurlent
-
L'IdP que vous prévoyez d'utiliser pour l'authentification à distance doit être configuré. Vous devez connaître l'URI de l'IdP. URI de l'IdP est l'adresse Web à laquelle ONTAP envoie les requêtes d'authentification et reçoit les réponses.
-
Le port 443 doit être ouvert entre le cluster ONTAP et l'IdP.
-
Le cluster ONTAP et l'IdP doivent chacun pouvoir pinger le nom de domaine complet de l'autre. Assurez-vous que le DNS est correctement configuré et que le certificat du cluster n'est pas expiré.
-
Si nécessaire, ajoutez l'autorité de certification (CA) de confiance du fournisseur d'identité à ONTAP. Vous pouvez "gérer les certificats ONTAP avec System Manager" . Vous devrez peut-être configurer le certificat de cluster ONTAP dans l'IdP.
-
Vous devez pouvoir accéder au cluster ONTAP "Processeur de service (SP)" console. Si SAML est mal configuré, vous devrez le désactiver depuis la console SP .
-
Si vous utilisez Entra ID (validé à partir d' ONTAP 9.17.1), vous devez configurer Entra ID avec les métadonnées ONTAP avant de créer la configuration SAML ONTAP . Entra ID ne fournira pas l'URI IdP tant qu'il n'aura pas été configuré avec les métadonnées ONTAP . L'URI IdP est requis pour créer la configuration SAML ONTAP .
-
Si vous utilisez System Manager pour configurer SAML, laissez le champ URI IdP vide jusqu'à ce que System Manager fournisse les métadonnées ONTAP . Configurez l'ID Entra avec les métadonnées ONTAP , puis copiez l'URI IdP dans System Manager avant d'activer la configuration SAML.
-
Si vous utilisez l'interface de ligne de commande ONTAP pour configurer SAML, vous devez générer les métadonnées ONTAP avant d'activer la configuration SAML ONTAP . Vous pouvez générer le fichier de métadonnées ONTAP avec la commande suivante :
security saml-sp default-metadata create -sp-host <ontap_host_name>
ontap_host_name
est le nom d'hôte ou l'adresse IP de l'hôte du fournisseur de services SAML, qui, dans ce cas, est le système ONTAP . Par défaut, l'adresse IP de gestion du cluster est utilisée. Vous pouvez éventuellement fournir les informations du certificat du serveur ONTAP . Par défaut, les informations du certificat du serveur Web ONTAP sont utilisées.
Configurez l'ID Entra avec les métadonnées fournies. Vous devez configurer l'ID Entra avant de créer la configuration SAML ONTAP . Une fois Entra configuré, suivez la procédure CLI ci-dessous.
-
Vous ne pouvez pas générer les métadonnées ONTAP pour Entra ID tant que tous les nœuds du cluster ne sont pas sur la version 9.17.1.
-
Effectuez les opérations suivantes en fonction de votre environnement :
-
Cliquez sur Cluster > Paramètres.
-
En regard de SAML Authentication, cliquez sur
.
-
Vérifiez que la case Activer l'authentification SAML est cochée.
-
Saisissez l'URL de l'URI IdP (y compris "https://" ). Si vous utilisez Entra ID, ignorez cette étape.
-
Modifiez l'adresse du système hôte si nécessaire. Il s'agit de l'adresse vers laquelle l'IdP redirigera après l'authentification. L'adresse par défaut est l'adresse IP de gestion du cluster.
-
Assurez-vous que le bon certificat est utilisé :
-
Si votre système a été mappé avec un seul certificat de type « serveur », ce certificat est considéré comme le certificat par défaut et il n'est pas affiché.
-
Si votre système a été mappé avec plusieurs certificats comme type « serveur », l'un des certificats s'affiche. Pour sélectionner un autre certificat, cliquez sur Modifier.
-
-
Cliquez sur Enregistrer. Une fenêtre de confirmation affiche les informations sur les métadonnées, qui ont été automatiquement copiées dans le presse-papiers.
-
Accédez au système IdP spécifié et copiez les métadonnées depuis votre presse-papiers pour les mettre à jour. Si vous utilisez Entra ID, copiez l'URI IdP dans ONTAP après avoir configuré Entra ID avec les métadonnées système.
-
Revenez à la fenêtre de confirmation (dans System Manager) et cochez la case J'ai configuré le IDP avec l'URI hôte ou les métadonnées.
-
Cliquez sur Déconnexion pour activer l'authentification SAML. Le système IDP affiche un écran d'authentification.
-
Sur la page de connexion de l'IdP, saisissez vos identifiants SAML. Une fois vos identifiants vérifiés, vous serez redirigé vers la page d'accueil du Gestionnaire système.
-
Créez une configuration SAML pour que ONTAP puisse accéder aux métadonnées IDP :
security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>
idp_uri
Est l'adresse FTP ou HTTP de l'hôte IDP à partir de laquelle les métadonnées IDP peuvent être téléchargées.Certaines URL contiennent un point d'interrogation (?). Ce point active l'aide active de la ligne de commande ONTAP . Pour saisir une URL avec un point d'interrogation, vous devez d'abord désactiver l'aide active avec la commande. set -active-help false
. L'aide active peut être réactivée ultérieurement avec la commandeset -active-help true
. En savoir plus dans le "Référence de commande ONTAP" .ontap_host_name
Est le nom d'hôte ou l'adresse IP de l'hôte du fournisseur de services SAML, qui, dans le cas présent, correspond au système ONTAP. Par défaut, l'adresse IP de la LIF de cluster-management est utilisée.Vous pouvez éventuellement fournir les informations de certificat de serveur ONTAP. Par défaut, les informations de certificat de serveur Web ONTAP sont utilisées.
cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 179] Job succeeded: Access the SAML SP metadata using the URL: https://10.0.0.1/saml-sp/Metadata Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.
L'URL permettant d'accéder aux métadonnées de l'hôte ONTAP s'affiche.
-
Depuis l'hôte IdP, configurer l'IdP avec les métadonnées de l'hôte ONTAP . Si vous utilisez Entra ID, vous avez déjà effectué cette étape.
-
Une fois l'IdP configuré, activez la configuration SAML :
security saml-sp modify -is-enabled true
Tout utilisateur existant qui accède à l'
http
ouontapi
L'application est automatiquement configurée pour l'authentification SAML. -
Si vous souhaitez créer des utilisateurs pour le
http
ouontapi
Après la configuration de SAML, spécifiez SAML comme méthode d'authentification pour les nouveaux utilisateurs. Avant ONTAP 9.17.1, une connexion SAML était automatiquement créée pour les utilisateurs existants.http
ouontapi
utilisateurs lorsque SAML est activé. Les nouveaux utilisateurs doivent être configurés pour SAML. À partir d' ONTAP 9.17.1, tous les utilisateurs créés avecpassword
,domain
, ounsswitch
les méthodes d'authentification sont automatiquement authentifiées auprès de l'IdP lorsque SAML est activé.-
Créez une méthode de connexion pour les nouveaux utilisateurs avec authentification SAML .
user_name
doit correspondre au nom d'utilisateur configuré dans l'IdP :La user_name
valeur est sensible à la casse. N'incluez que le nom d'utilisateur et n'incluez aucune partie du domaine.security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>
Exemple :
cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12
-
Vérifiez que l'entrée utilisateur est créée :
security login show
Exemple :
cluster_12::> security login show Vserver: cluster_12 Second User/Group Authentication Acct Authentication Name Application Method Role Name Locked Method -------------- ----------- ------------- ---------------- ------ -------------- admin console password admin no none admin http password admin no none admin http saml admin - none admin ontapi password admin no none admin ontapi saml admin - none admin service-processor password admin no none admin ssh password admin no none admin1 http password backup no none admin1 http saml backup - none
+ Pour en savoir plus,
security login show
consultez le "Référence de commande ONTAP". -
Désactivez l'authentification SAML
Vous pouvez désactiver l'authentification SAML si vous souhaitez arrêter l'authentification des utilisateurs distants du Gestionnaire système auprès d'un fournisseur d'identité externe (IdP). Lorsque l'authentification SAML est désactivée, l'authentification des utilisateurs locaux ou les fournisseurs de services d'annuaire configurés, tels qu'Active Directory et LDAP, sont utilisés pour authentifier les utilisateurs.
Effectuez les opérations suivantes en fonction de votre environnement :
-
Cliquez sur Cluster > Paramètres.
-
Sous authentification SAML, cliquez sur le bouton bascule activé.
-
Facultatif: Vous pouvez également cliquer sur
en regard de SAML Authentication, puis décocher la case Activer l'authentification SAML.
-
Désactiver l'authentification SAML :
security saml-sp modify -is-enabled false
-
Si vous ne souhaitez plus utiliser l'authentification SAML ou si vous souhaitez modifier l'IDP, supprimez la configuration SAML :
security saml-sp delete
Configurer un IdP tiers
Pour vous authentifier avec ONTAP, vous devrez peut-être modifier les paramètres de votre fournisseur d'identité. Les sections suivantes fournissent des informations de configuration pour les fournisseurs d'identité pris en charge.
Lors de la configuration d'Entra ID, créez une nouvelle application et configurez l'authentification SAML avec les métadonnées fournies par ONTAP. Une fois l'application créée, modifiez la section « Attributs et revendications » des paramètres SAML de l'application pour qu'elle corresponde aux valeurs suivantes :
Réglage | Valeur |
---|---|
Nom |
urn:oid:0.9.2342.19200300.100.1.1 |
Espace de noms |
Laisser vide |
Format du nom |
URI |
Source |
Attribut |
Attribut source |
utilisateur.userprincipalname |
Si vous souhaitez utiliser des groupes avec Entra ID, ajoutez une revendication de groupe avec les paramètres suivants :
Réglage | Valeur |
---|---|
Nom |
urn:oid:1.3.6.1.4.1.5923.1.5.1.1 |
Espace de noms |
Laisser vide |
Attribut source |
ID de groupe |
Entra ID fournit des informations de groupe au format UUID. Pour plus d'informations sur l'utilisation des groupes avec Entra ID, consultez "Gestion des groupes avec des UUID" .
L'URL des métadonnées de la fédération d'applications fournie dans la section « Certificat SAML » des paramètres SAML de l'application est l'URI IdP que vous saisirez dans ONTAP.
Pour plus d'informations sur la configuration de l'authentification multifacteur Entra ID, reportez-vous à "Planifier un déploiement d'authentification multifacteur Microsoft Entra" .
Pour plus d'informations, reportez-vous à la "Documentation d'identification Entra" .
Lors de la configuration des services de fédération Active Directory (AD FS), vous devez ajouter une nouvelle approbation de partie de confiance prenant en charge les revendications, avec les métadonnées du fournisseur de services fournies par ONTAP. Une fois l'approbation de partie de confiance créée, ajoutez les règles de revendication suivantes à sa politique d'émission de revendications à l'aide du modèle « Envoyer les attributs LDAP comme revendications » :
Magasin d'attributs | attribut LDAP | Type de réclamation sortante |
---|---|---|
Active Directory |
nom-du-compte-SAM |
Nom d'identification |
Active Directory |
nom-du-compte-SAM |
urn:oid:0.9.2342.19200300.100.1.1 |
Active Directory |
Format du nom |
urne:oasis:noms:tc:SAML:2.0:attrname-format:uri |
Active Directory |
Groupes de jetons - Qualifiés par nom de domaine |
urn:oid:1.3.6.1.4.1.5923.1.5.1.1 |
Active Directory |
sAMAccountName |
urn:oid:1.2.840.113556.1.4.221 |
AD FS fournit des informations sur les groupes sous forme de noms. Pour plus d'informations sur l'utilisation des groupes avec AD FS, consultez "Gérer les groupes avec des noms" .
Pour plus d'informations, reportez-vous à la "Documentation AD FS" .
Se référer à la "Documentation Cisco Duo" pour les informations de configuration.
Avant de configurer l'IdP Shibboleth, vous devez avoir configuré un serveur LDAP.
Lors de l'activation de SAML sur ONTAP, enregistrez le fichier XML de métadonnées d'hôte fourni. Sur l'hôte où Shibboleth est installé, remplacez le contenu de metadata/sp-metadata.xml
avec les métadonnées XML de l'hôte dans le répertoire personnel de Shibboleth IdP.
Pour plus d'informations, reportez-vous à "Hurlent" .
Résolution des problèmes liés à la configuration SAML
Si la configuration de l'authentification SAML échoue, vous pouvez réparer manuellement chaque nœud sur lequel la configuration SAML a échoué et effectuer une restauration suite à la défaillance. Au cours du processus de réparation, le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.
Lorsque vous configurez l'authentification SAML, ONTAP applique la configuration SAML par nœud. Lorsque vous activez l'authentification SAML, ONTAP tente automatiquement de réparer chaque nœud en cas de problèmes de configuration. Si la configuration SAML est problématique sur n'importe quel nœud, vous pouvez désactiver l'authentification SAML, puis réactiver l'authentification SAML. Lorsque la configuration SAML ne s'applique pas à un ou plusieurs nœuds, même après la réactivation de l'authentification SAML, cela peut se présenter. Vous pouvez identifier le nœud sur lequel la configuration SAML a échoué, puis réparer manuellement ce nœud.
-
Connectez-vous au niveau de privilège avancé :
set -privilege advanced
-
Identifiez le nœud sur lequel la configuration SAML a échoué :
security saml-sp status show -instance
Exemple :
cluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-failed Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file. SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.
Pour en savoir plus,
security saml-sp status show
consultez le "Référence de commande ONTAP". -
Corrigez la configuration SAML sur le nœud défaillant :
security saml-sp repair -node <node_name>
Exemple :
cluster_12::*> security saml-sp repair -node node2 Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 181] Job is running. [Job 181] Job success.
Le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.
Pour en savoir plus,
security saml-sp repair
consultez le "Référence de commande ONTAP". -
Vérifiez que le langage SAML est configuré sur tous les nœuds :
security saml-sp status show -instance
Exemple :
cluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.
Pour en savoir plus,
security saml-sp status show
consultez le "Référence de commande ONTAP".