Configurez l'authentification SAML
Depuis ONTAP 9.3, vous pouvez configurer l'authentification SAML pour les services Web. Lorsque l'authentification SAML est configurée et activée, les utilisateurs sont authentifiés par un fournisseur d'identité externe (IDP) au lieu des fournisseurs de services d'annuaire tels qu'Active Directory et LDAP.
Activez l'authentification SAML
Pour activer l'authentification SAML avec System Manager ou l'interface de ligne de commandes, effectuez les opérations suivantes. Si votre cluster exécute ONTAP 9.7 ou une version antérieure, les étapes à suivre dans System Manager sont différentes. Consultez l'aide en ligne de System Manager disponible sur votre système.
Après avoir activé l'authentification SAML, seuls les utilisateurs distants peuvent accéder à l'interface graphique de System Manager. Les utilisateurs locaux ne peuvent pas accéder à l'interface graphique de System Manager après l'authentification SAML. |
-
Le IDP que vous envisagez d'utiliser pour l'authentification à distance doit être configuré.
Consultez la documentation fournie par le PDI que vous avez configuré.
-
Vous devez avoir l'URI du IDP.
-
L'authentification SAML s'applique uniquement au
http
etontapi
en termes de latence.Le
http
etontapi
Les applications sont utilisées par les services web suivants : infrastructure processeur de service, API ONTAP ou System Manager. -
L'authentification SAML est applicable uniquement pour l'accès au SVM d'administration.
Les PDI suivants ont été validés avec System Manager :
-
Services de fédération Active Directory
-
Cisco DUO (validé avec les versions ONTAP suivantes :)
-
9.7P21 et versions ultérieures 9.7 (voir "Documentation de System Manager Classic")
-
9.8P17 et versions ultérieures 9.8
-
9.9.1P13 et versions ultérieures 9.9
-
9.10.1P9 et versions ultérieures 9.10
-
9.11.1P4 et versions ultérieures 9.11
-
versions 9.12.1 et ultérieures
-
-
Hurlent
Effectuez les opérations suivantes en fonction de votre environnement :
-
Cliquez sur Cluster > Paramètres.
-
En regard de SAML Authentication, cliquez sur .
-
Vérifiez que la case Activer l'authentification SAML est cochée.
-
Entrez l'URL de l'URI IDP (y compris "https://").
-
Modifiez l'adresse du système hôte, si nécessaire.
-
Assurez-vous que le bon certificat est utilisé :
-
Si votre système a été mappé avec un seul certificat de type « serveur », ce certificat est considéré comme le certificat par défaut et il n'est pas affiché.
-
Si votre système a été mappé avec plusieurs certificats comme type « serveur », l'un des certificats s'affiche. Pour sélectionner un autre certificat, cliquez sur Modifier.
-
-
Cliquez sur Enregistrer. Une fenêtre de confirmation affiche les informations sur les métadonnées, qui ont été automatiquement copiées dans le presse-papiers.
-
Accédez au système IDP que vous avez spécifié et copiez les métadonnées de votre presse-papiers pour mettre à jour les métadonnées système.
-
Revenez à la fenêtre de confirmation (dans System Manager) et cochez la case J'ai configuré le IDP avec l'URI hôte ou les métadonnées.
-
Cliquez sur Déconnexion pour activer l'authentification SAML. Le système IDP affiche un écran d'authentification.
-
Dans le système IDP, saisissez vos identifiants SAML. Une fois vos identifiants vérifiés, vous accédez à la page d'accueil de System Manager.
-
Créez une configuration SAML pour que ONTAP puisse accéder aux métadonnées IDP :
security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name
idp_uri
Est l'adresse FTP ou HTTP de l'hôte IDP à partir de laquelle les métadonnées IDP peuvent être téléchargées.ontap_host_name
Est le nom d'hôte ou l'adresse IP de l'hôte du fournisseur de services SAML, qui, dans le cas présent, correspond au système ONTAP. Par défaut, l'adresse IP de la LIF de cluster-management est utilisée.Vous pouvez éventuellement fournir les informations de certificat de serveur ONTAP. Par défaut, les informations de certificat de serveur Web ONTAP sont utilisées.
cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 179] Job succeeded: Access the SAML SP metadata using the URL: https://10.0.0.1/saml-sp/Metadata Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.
L'URL permettant d'accéder aux métadonnées de l'hôte ONTAP s'affiche.
-
À partir de l'hôte IDP, configurez le IDP avec les métadonnées de l'hôte ONTAP.
Pour plus d'informations sur la configuration du IDP, reportez-vous à la documentation IDP.
-
Activer la configuration SAML :
security saml-sp modify -is-enabled true
Tout utilisateur existant qui accède à l'
http
ouontapi
L'application est automatiquement configurée pour l'authentification SAML. -
Si vous souhaitez créer des utilisateurs pour le
http
ouontapi
Application après la configuration de SAML, spécifiez SAML comme méthode d'authentification pour les nouveaux utilisateurs.-
Créez une méthode de connexion pour les nouveaux utilisateurs avec l'authentification SAML :
security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name
cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12
-
Vérifiez que l'entrée utilisateur est créée :
security login show
cluster_12::> security login show Vserver: cluster_12 Second User/Group Authentication Acct Authentication Name Application Method Role Name Locked Method -------------- ----------- ------------- ---------------- ------ -------------- admin console password admin no none admin http password admin no none admin http saml admin - none admin ontapi password admin no none admin ontapi saml admin - none admin service-processor password admin no none admin ssh password admin no none admin1 http password backup no none **admin1 http saml backup - none**
-
Désactivez l'authentification SAML
Vous pouvez désactiver l'authentification SAML lorsque vous souhaitez arrêter l'authentification des utilisateurs Web à l'aide d'un fournisseur d'identité externe (IDP). Lorsque l'authentification SAML est désactivée, les fournisseurs de services d'annuaire configurés tels qu'Active Directory et LDAP sont utilisés pour l'authentification.
Effectuez les opérations suivantes en fonction de votre environnement :
-
Cliquez sur Cluster > Paramètres.
-
Sous authentification SAML, cliquez sur le bouton bascule activé.
-
Facultatif: Vous pouvez également cliquer sur en regard de SAML Authentication, puis décocher la case Activer l'authentification SAML.
-
Désactiver l'authentification SAML :
security saml-sp modify -is-enabled false
-
Si vous ne souhaitez plus utiliser l'authentification SAML ou si vous souhaitez modifier l'IDP, supprimez la configuration SAML :
security saml-sp delete
Résolution des problèmes liés à la configuration SAML
Si la configuration de l'authentification SAML échoue, vous pouvez réparer manuellement chaque nœud sur lequel la configuration SAML a échoué et effectuer une restauration suite à la défaillance. Au cours du processus de réparation, le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.
Lorsque vous configurez l'authentification SAML, ONTAP applique la configuration SAML par nœud. Lorsque vous activez l'authentification SAML, ONTAP tente automatiquement de réparer chaque nœud en cas de problèmes de configuration. Si la configuration SAML est problématique sur n'importe quel nœud, vous pouvez désactiver l'authentification SAML, puis réactiver l'authentification SAML. Lorsque la configuration SAML ne s'applique pas à un ou plusieurs nœuds, même après la réactivation de l'authentification SAML, cela peut se présenter. Vous pouvez identifier le nœud sur lequel la configuration SAML a échoué, puis réparer manuellement ce nœud.
-
Connectez-vous au niveau de privilège avancé :
set -privilege advanced
-
Identifiez le nœud sur lequel la configuration SAML a échoué :
security saml-sp status show -instance
cluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-failed Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file. SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.
-
Corrigez la configuration SAML sur le nœud défaillant :
security saml-sp repair -node node_name
cluster_12::*> security saml-sp repair -node node2 Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 181] Job is running. [Job 181] Job success.
Le serveur Web est redémarré et toutes les connexions HTTP ou HTTPS actives sont interrompues.
-
Vérifiez que le langage SAML est configuré sur tous les nœuds :
security saml-sp status show -instance
cluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: **config-success** Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.