Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare SAML

Collaboratori
PDF

Per configurare l'autenticazione per Access Management, è possibile utilizzare le funzionalità SAML (Security Assertion Markup Language) integrate nell'array di storage. Questa configurazione stabilisce una connessione tra un provider di identità e lo storage provider.

A proposito di questa attività

Un provider di identità (IdP) è un sistema esterno utilizzato per richiedere le credenziali a un utente e per determinare se tale utente è autenticato correttamente. È possibile configurare IdP in modo da fornire l'autenticazione a più fattori e utilizzare qualsiasi database utente, ad esempio Active Directory. Il tuo team di sicurezza è responsabile della manutenzione dell'IdP. Un service provider (SP) è un sistema che controlla l'autenticazione e l'accesso degli utenti. Quando Access Management è configurato con SAML, lo storage array agisce come service provider per richiedere l'autenticazione al provider di identità. Per stabilire una connessione tra IdP e lo storage array, è necessario condividere i file di metadati tra queste due entità. Quindi, mappare le entità utente IdP ai ruoli degli array di storage. Infine, prima di attivare SAML, è necessario verificare la connessione e gli accessi SSO.

Nota

SAML e Directory Services. Se si attiva SAML quando Directory Services è configurato come metodo di autenticazione, SAML sostituisce Directory Services in System Manager. Se si disattiva SAML in un secondo momento, la configurazione dei servizi di directory torna alla configurazione precedente.
Nota

Modifica e disattivazione. una volta abilitato SAML, non è possibile disattivarlo tramite l'interfaccia utente, né modificare le impostazioni IdP. Se è necessario disattivare o modificare la configurazione SAML, contattare il supporto tecnico per assistenza.

La configurazione dell'autenticazione SAML è una procedura a più fasi:

Fase 1: Caricare il file di metadati IdP

Per fornire allo storage array le informazioni di connessione IdP, importare i metadati IdP in System Manager.

Prima di iniziare

  • È necessario effettuare l'accesso con un profilo utente che includa le autorizzazioni di amministratore di sicurezza. In caso contrario, le funzioni di gestione degli accessi non vengono visualizzate.

  • Un amministratore IdP ha configurato un sistema IdP.

  • Un amministratore IdP ha garantito che IdP supporti la capacità di restituire un ID nome all'autenticazione.

  • Un amministratore ha garantito che i clock del server IdP e del controller siano sincronizzati (tramite un server NTP o regolando le impostazioni del clock del controller).

  • Un file di metadati IdP viene scaricato dal sistema IdP ed è disponibile sul sistema locale utilizzato per accedere a System Manager.

A proposito di questa attività

In questa attività, si carica un file di metadati da IdP in System Manager. Il sistema IdP ha bisogno di questi metadati per reindirizzare le richieste di autenticazione all'URL corretto e per validare le risposte ricevute. È necessario caricare un solo file di metadati per l'array di storage, anche se sono presenti due controller.

Fasi

  1. Selezionare Impostazioni  Gestione accessi.

  2. Selezionare la scheda SAML.

    La pagina visualizza una panoramica delle fasi di configurazione.

  3. Fare clic sul collegamento Import Identity Provider (IdP) file.

    Viene visualizzata la finestra di dialogo Import Identity Provider file.

  4. Fare clic su Browse (Sfoglia) per selezionare e caricare il file di metadati IdP copiato nel sistema locale.

    Dopo aver selezionato il file, viene visualizzato l'ID entità IdP.

  5. Fare clic su Importa.

Fase 2: Esportare i file del provider di servizi

Per stabilire una relazione di trust tra IdP e l'array di storage, importare i metadati del service provider nell'IdP.

Prima di iniziare

  • Si conosce l'indirizzo IP o il nome di dominio di ciascun controller dell'array di storage.

A proposito di questa attività

In questa attività, si esportano i metadati dai controller (un file per ciascun controller). L'IdP ha bisogno di questi metadati per stabilire una relazione di trust con i controller e per elaborare le richieste di autorizzazione. Il file include informazioni come il nome di dominio del controller o l'indirizzo IP, in modo che l'IdP possa comunicare con i service provider.

Fasi

  1. Fare clic sul collegamento Export Service Provider Files.

    Viene visualizzata la finestra di dialogo Export Service Provider Files (Esporta file provider di servizi).

  2. Inserire l'indirizzo IP o il nome DNS del controller nel campo Controller A, quindi fare clic su Export per salvare il file di metadati nel sistema locale. Se lo storage array include due controller, ripetere questo passaggio per il secondo controller nel campo Controller B.

    Dopo aver fatto clic su Export (Esporta), i metadati del provider di servizi vengono scaricati nel sistema locale. Prendere nota della posizione in cui è memorizzato il file.

  3. Dal sistema locale, individuare i file di metadati del provider di servizi esportati.

    Per ciascun controller è disponibile un file in formato XML.

  4. Dal server IdP, importare i file di metadati del provider di servizi per stabilire la relazione di trust. È possibile importare i file direttamente o inserire manualmente le informazioni del controller dai file.

Fase 3: Mappare i ruoli

Per fornire agli utenti l'autorizzazione e l'accesso a System Manager, è necessario mappare gli attributi utente IdP e le appartenenze ai gruppi ai ruoli predefiniti dell'array di storage.

Prima di iniziare

  • Un amministratore IdP ha configurato gli attributi utente e l'appartenenza al gruppo nel sistema IdP.

  • Il file di metadati IdP viene importato in System Manager.

  • Un file di metadati del service provider per ciascun controller viene importato nel sistema IdP per la relazione di trust.

A proposito di questa attività

In questa attività, si utilizza System Manager per associare i gruppi IdP ai ruoli utente locali.

Fasi

  1. Fare clic sul collegamento per la mappatura dei ruoli di System Manager.

    Viene visualizzata la finestra di dialogo mappatura ruolo.

  2. Assegnare gli attributi e i gruppi degli utenti IdP ai ruoli predefiniti. Un gruppo può avere più ruoli assegnati.

    Dettagli campo
    Impostazione Descrizione

    Mapping

    Attributo dell'utente

    Specificare l'attributo (ad esempio, "membro di") per il gruppo SAML da mappare.

    Valore dell'attributo

    Specificare il valore dell'attributo per il gruppo da mappare.

    Ruoli
    Nota

    Il ruolo Monitor è necessario per tutti gli utenti, incluso l'amministratore. System Manager non funzionerà correttamente per nessun utente senza il ruolo di monitoraggio presente.

  3. Se lo si desidera, fare clic su Add another mapping (Aggiungi un'altra mappatura) per immettere più mappature gruppo-ruolo.

    Nota

    I mapping dei ruoli possono essere modificati dopo l'attivazione di SAML.

  4. Una volta completate le mappature, fare clic su Save (Salva).

Fase 4: Verifica dell'accesso SSO

Per garantire che il sistema IdP e lo storage array possano comunicare, è possibile eseguire un test di accesso SSO. Questo test viene eseguito anche durante la fase finale per l'abilitazione di SAML.

Prima di iniziare

  • Il file di metadati IdP viene importato in System Manager.

  • Un file di metadati del service provider per ciascun controller viene importato nel sistema IdP per la relazione di trust.

Fasi

  1. Selezionare il collegamento Test SSO Login.

    Viene visualizzata una finestra di dialogo per l'immissione delle credenziali SSO.

  2. Immettere le credenziali di accesso per un utente con permessi di amministratore della sicurezza e di monitoraggio.

    Viene visualizzata una finestra di dialogo durante il test dell'accesso.

  3. Cercare il messaggio Test Successful (Test riuscito). Se il test viene completato correttamente, passare alla fase successiva per l'abilitazione di SAML.

    Se il test non viene completato correttamente, viene visualizzato un messaggio di errore con ulteriori informazioni. Assicurarsi che:

    • L'utente appartiene a un gruppo con autorizzazioni per Security Admin e Monitor.

    • I metadati caricati per il server IdP sono corretti.

    • Gli indirizzi del controller nei file di metadati SP sono corretti.

Fase 5: Abilitare SAML

Il passaggio finale consiste nell'abilitare l'autenticazione utente SAML.

Prima di iniziare

  • Il file di metadati IdP viene importato in System Manager.

  • Un file di metadati del service provider per ciascun controller viene importato nel sistema IdP per la relazione di trust.

  • È stata configurata almeno una mappatura dei ruoli Monitor e Security Admin.

A proposito di questa attività

Questa attività descrive come completare la configurazione SAML per l'autenticazione dell'utente. Durante questo processo, il sistema richiede anche di verificare un accesso SSO. Il processo di test di accesso SSO è descritto nel passaggio precedente.

Nota

Modifica e disattivazione. una volta abilitato SAML, non è possibile disattivarlo tramite l'interfaccia utente, né modificare le impostazioni IdP. Se è necessario disattivare o modificare la configurazione SAML, contattare il supporto tecnico per assistenza.
Fasi

  1. Dalla scheda SAML, selezionare il collegamento Enable SAML (attiva SAML).

    Viene visualizzata la finestra di dialogo Conferma abilitazione SAML.

  2. Tipo enable, Quindi fare clic su Enable (attiva).

  3. Immettere le credenziali utente per un test di accesso SSO.

Risultato

Una volta attivato SAML, il sistema termina tutte le sessioni attive e inizia l'autenticazione degli utenti tramite SAML.