Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare l'autenticazione SAML

Collaboratori
PDF

A partire da ONTAP 9.3, è possibile configurare l'autenticazione SAML (Security Assertion Markup Language) per i servizi Web. Quando l'autenticazione SAML è configurata e abilitata, gli utenti vengono autenticati da un provider di identità esterno (IdP) invece che dai provider di servizi di directory come Active Directory e LDAP. Quando l'autenticazione SAML è disattivata, i provider di servizi di directory configurati, come Active Directory e LDAP, vengono utilizzati per l'autenticazione

Abilitare l'autenticazione SAML

Per attivare l'autenticazione SAML con System Manager o con la CLI, attenersi alla seguente procedura. Se il cluster esegue ONTAP 9,7 o versione precedente, la procedura indicata è diversa da quella illustrata in System Manager. Fare riferimento alla guida in linea di System Manager disponibile sul sistema.

Nota Dopo aver attivato l'autenticazione SAML, solo gli utenti remoti possono accedere alla GUI di System Manager. Gli utenti locali non possono accedere alla GUI di System Manager dopo l'attivazione dell'autenticazione SAML.

Flusso di lavoro dell'attività per impostare l'autenticazione multifattore con SAML

Prima di iniziare

  • È necessario configurare l'IdP che si intende utilizzare per l'autenticazione remota.

    Nota

    Consultare la documentazione fornita dall'IdP configurato.

  • È necessario disporre dell'URI dell'IdP.

A proposito di questa attività

  • L'autenticazione SAML si applica solo a. http e. ontapi applicazioni.

    Il http e. ontapi Le applicazioni vengono utilizzate dai seguenti servizi Web: Infrastruttura del processore di servizi, API ONTAP o Gestore di sistema.

  • L'autenticazione SAML è applicabile solo per l'accesso alla SVM amministrativa.

I seguenti IDP sono stati convalidati con System Manager:

  • Servizi di federazione di Active Directory

  • Cisco DUO (compatibile con le seguenti versioni di ONTAP:)

    • 9.7P21 e versioni successive 9,7 (fare riferimento alla "Documentazione di System Manager Classic")

    • 9.8P17 e versioni successive 9,8

    • 9,9.1P13 e versioni successive 9,9

    • 9.10.1P9 e versioni successive 9,10

    • 9.11.1P4 e versioni successive 9,11

    • 9.12.1 e versioni successive

  • Shibboleth

A seconda dell'ambiente in uso, effettuare le seguenti operazioni:

Esempio 1. Fasi
System Manager

  1. Fare clic su Cluster > Settings (Cluster > Impostazioni).

  2. Accanto a autenticazione SAML, fare clic su Icona delle azioni.

  3. Verificare che la casella di controllo Enable SAML Authentication (attiva autenticazione SAML) sia selezionata.

  4. Inserire l'URL dell'URI IdP (incluso "https://").

  5. Modificare l'indirizzo del sistema host, se necessario.

  6. Assicurarsi di utilizzare il certificato corretto:

    • Se il sistema è stato mappato con un solo certificato di tipo "server", il certificato viene considerato predefinito e non viene visualizzato.

    • Se il sistema è stato mappato con più certificati come tipo "server", viene visualizzato uno dei certificati. Per selezionare un certificato diverso, fare clic su Cambia.

  7. Fare clic su Save (Salva). Una finestra di conferma visualizza le informazioni sui metadati, che sono state copiate automaticamente negli Appunti.

  8. Accedere al sistema IdP specificato e copiare i metadati dagli Appunti per aggiornare i metadati del sistema.

  9. Tornare alla finestra di conferma (in System Manager) e selezionare la casella di controllo ho configurato IdP con l'URI host o i metadati.

  10. Fare clic su Logout per attivare l'autenticazione basata su SAML. Il sistema IdP visualizza una schermata di autenticazione.

  11. Nel sistema IdP, immettere le credenziali basate su SAML. Una volta verificate le credenziali, viene visualizzata la home page di System Manager.

CLI

  1. Creare una configurazione SAML in modo che ONTAP possa accedere ai metadati IdP:

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    idp_uri È l'indirizzo FTP o HTTP dell'host IdP da cui è possibile scaricare i metadati IdP.

    Nota Il punto interrogativo (?) attiva la guida attiva della riga di comando. Per inserire un punto interrogativo come parte di un URI, è necessario disattivare la guida attiva con il comando set -active-help false. La guida in linea attiva può essere riattivata successivamente con il comando set -active-help true. Ulteriori informazioni su set nella "Riferimento al comando ONTAP".

    ontap_host_name È il nome host o l'indirizzo IP dell'host del provider di servizi SAML, che in questo caso è il sistema ONTAP. Per impostazione predefinita, viene utilizzato l'indirizzo IP della LIF di gestione del cluster.

    È possibile fornire le informazioni sul certificato del server ONTAP. Per impostazione predefinita, vengono utilizzate le informazioni del certificato del server Web ONTAP.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    Viene visualizzato l'URL per accedere ai metadati dell'host ONTAP.

  2. Dall'host IdP, configurare IdP con i metadati dell'host ONTAP.

    Per ulteriori informazioni sulla configurazione di IdP, consultare la documentazione di IdP.

  3. Abilitare la configurazione SAML:

    security saml-sp modify -is-enabled true

    Qualsiasi utente esistente che accede a. http oppure ontapi L'applicazione viene configurata automaticamente per l'autenticazione SAML.

  4. Se si desidera creare utenti per http oppure ontapi Applicazione dopo aver configurato SAML, specificare SAML come metodo di autenticazione per i nuovi utenti.

    1. Creare un metodo di accesso per i nuovi utenti con autenticazione SAML:

      Nota Il user_name valore è sensibile al maiuscolo/minuscolo. Includere solo il nome utente e non includere alcuna parte del dominio.

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      Esempio:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12

    2. Verificare che la voce utente sia stata creata:

      security login show

      Esempio:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

Disattiva l'autenticazione SAML

È possibile disattivare l'autenticazione SAML quando si desidera interrompere l'autenticazione degli utenti Web utilizzando un provider di identità (IdP) esterno. Quando l'autenticazione SAML è disattivata, i provider di servizi di directory configurati come Active Directory e LDAP vengono utilizzati per l'autenticazione.

A seconda dell'ambiente in uso, effettuare le seguenti operazioni:

Esempio 2. Fasi
System Manager

  1. Fare clic su Cluster > Settings (Cluster > Impostazioni).

  2. In SAML Authentication, fare clic sul pulsante di commutazione Enabled.

  3. Optional: È anche possibile fare clic su Icona delle azioni accanto a autenticazione SAML, quindi deselezionare la casella di controllo Abilita autenticazione SAML.

CLI

  1. Disattiva autenticazione SAML:

    security saml-sp modify -is-enabled false

  2. Se non si desidera più utilizzare l'autenticazione SAML o se si desidera modificare IdP, eliminare la configurazione SAML:

    security saml-sp delete

Risolvere i problemi relativi alla configurazione SAML

Se la configurazione dell'autenticazione SAML (Security Assertion Markup Language) non riesce, è possibile riparare manualmente ogni nodo su cui la configurazione SAML ha avuto esito negativo e ripristinarlo in caso di errore. Durante il processo di riparazione, il server Web viene riavviato e tutte le connessioni HTTP o HTTPS attive vengono interrompute.

A proposito di questa attività

Quando si configura l'autenticazione SAML, ONTAP applica la configurazione SAML per nodo. Quando si attiva l'autenticazione SAML, ONTAP tenta automaticamente di riparare ogni nodo in caso di problemi di configurazione. In caso di problemi con la configurazione SAML su qualsiasi nodo, è possibile disattivare l'autenticazione SAML e riattivarla. Possono verificarsi situazioni in cui la configurazione SAML non viene applicata a uno o più nodi anche dopo aver riattivato l'autenticazione SAML. È possibile identificare il nodo su cui si è verificato un errore nella configurazione SAML e quindi riparare manualmente tale nodo.

Fasi

  1. Accedere al livello di privilegio avanzato:

    set -privilege advanced

  2. Identificare il nodo su cui la configurazione SAML non ha avuto esito positivo:

    security saml-sp status show -instance

    Esempio:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

  3. Riparare la configurazione SAML sul nodo guasto:

    security saml-sp repair -node <node_name>

    Esempio:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Il server Web viene riavviato e tutte le connessioni HTTP o HTTPS attive vengono interrompute.

  4. Verificare che SAML sia configurato correttamente su tutti i nodi:

    security saml-sp status show -instance

    Esempio:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.
Informazioni correlate