Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare l'autenticazione SAML per gli utenti ONTAP remoti

Collaboratori netapp-bhouser netapp-dbagwell netapp-aaron-holt netapp-mwallis netapp-thomi netapp-aherbin
PDF

A partire da ONTAP 9.3, è possibile configurare l'autenticazione Security Assertion Markup Language (SAML) per i servizi web. Quando l'autenticazione SAML è configurata e abilitata, gli utenti vengono autenticati da un provider di identità (IdP) esterno anziché dai provider di servizi di directory come Active Directory e LDAP. Quando l'autenticazione SAML è disabilitata, per l'autenticazione vengono utilizzati i provider di servizi di directory configurati, come Active Directory e LDAP.

Abilitare l'autenticazione SAML

Per attivare l'autenticazione SAML con System Manager o con la CLI, attenersi alla seguente procedura. Se il cluster esegue ONTAP 9,7 o versione precedente, la procedura indicata è diversa da quella illustrata in System Manager. Fare riferimento alla guida in linea di System Manager disponibile sul sistema.

Nota Dopo aver abilitato l'autenticazione SAML, solo gli utenti remoti configurati per l'autenticazione SAML potranno accedere all'interfaccia utente grafica di System Manager. Gli utenti locali non potranno accedere all'interfaccia utente grafica di System Manager dopo aver abilitato l'autenticazione SAML.

Flusso di lavoro dell'attività per impostare l'autenticazione a più fattori con SAML

A proposito di questa attività

  • L'autenticazione SAML si applica solo ONTAP http E ontapi applicazioni.

    IL http E ontapi le applicazioni sono utilizzate dai seguenti servizi Web: Service Processor Infrastructure, ONTAP API e System Manager.

  • L'autenticazione SAML è applicabile solo per l'accesso alla SVM amministrativa.

  • A partire da ONTAP 9.17.1, le informazioni di gruppo fornite dall'IdP possono essere mappate ai ruoli ONTAP . Ciò consente di assegnare ruoli agli utenti in base ai gruppi definiti nell'IdP. Per ulteriori informazioni, consultare "Lavorare con gruppi IdP OAuth 2.0 o SAML in ONTAP" .

I seguenti IDP sono stati convalidati con System Manager:

  • ID Microsoft Entra (convalidato con ONTAP 9.17.1 e versioni successive)

  • Servizi di federazione di Active Directory

  • Cisco Duo (convalidato con le seguenti versioni ONTAP :)

    • 9.7P21 e versioni successive 9,7 (fare riferimento alla "Documentazione di System Manager Classic")

    • 9.8P17 e versioni successive della patch 9.8

    • Versioni patch 9.9.1P13 e successive 9.9.1

    • Versioni patch 9.10.1P9 e successive 9.10.1

    • Versioni patch 9.11.1P4 e successive 9.11.1

    • 9.12.1 e versioni successive

  • Shibboleth

Prima di iniziare

  • L'IdP che si intende utilizzare per l'autenticazione remota deve essereconfigurato. È necessario conoscere l'URI dell'IdP. URI dell'IdP è l'indirizzo web a cui ONTAP invia le richieste di autenticazione e da cui riceve le risposte.

  • La porta 443 deve essere aperta tra il cluster ONTAP e l'IdP.

  • Il cluster ONTAP e l'IdP devono essere in grado di effettuare il ping del nome di dominio completo dell'altro. Assicurarsi che il DNS sia configurato correttamente e che il certificato del cluster non sia scaduto.

  • Se necessario, aggiungere l'autorità di certificazione (CA) attendibile dell'IdP a ONTAP. È possibile "gestire i certificati ONTAP con System Manager" Potrebbe essere necessario configurare il certificato del cluster ONTAP nell'IdP.

  • Devi essere in grado di accedere al cluster ONTAP "Processore di servizi (SP)" console. Se SAML non è configurato correttamente, sarà necessario disabilitarlo dalla console SP .

  • Se si utilizza l'ID Entra (convalidato a partire da ONTAP 9.17.1), è necessario configurare l'ID Entra con i metadati ONTAP prima di creare la configurazione SAML ONTAP . L'ID Entra non fornirà l'URI dell'IdP finché non sarà configurato con i metadati ONTAP . L'URI dell'IdP è necessario per creare la configurazione SAML ONTAP .

    • Se si utilizza System Manager per configurare SAML, lasciare vuoto il campo URI IdP finché System Manager non fornisce i metadati ONTAP . Configurare l'ID Entra con i metadati ONTAP , quindi copiare l'URI IdP in System Manager prima di abilitare la configurazione SAML.

    • Se si utilizza l'interfaccia a riga di comando ONTAP per configurare SAML, è necessario generare i metadati ONTAP prima di abilitare la configurazione SAML ONTAP . È possibile generare il file di metadati ONTAP con il seguente comando:

      security saml-sp default-metadata create -sp-host <ontap_host_name>

      ontap_host_name è il nome host o l'indirizzo IP dell'host del provider di servizi SAML, che in questo caso è il sistema ONTAP . Per impostazione predefinita, viene utilizzato l'indirizzo IP di gestione del cluster. È possibile fornire facoltativamente le informazioni sul certificato del server ONTAP . Per impostazione predefinita, vengono utilizzate le informazioni sul certificato del server web ONTAP .

    Configurare l'ID Entra con i metadati forniti. È necessario configurare l'ID Entra prima di creare la configurazione SAML ONTAP . Dopo aver configurato Entra, procedere con la seguente procedura CLI.

    • Non è possibile generare i metadati ONTAP per l'ID Entra finché tutti i nodi del cluster non saranno sulla versione 9.17.1.

Fasi

A seconda dell'ambiente in uso, effettuare le seguenti operazioni:

System Manager

  1. Fare clic su Cluster > Settings (Cluster > Impostazioni).

  2. Accanto a autenticazione SAML, fare clic su Icona delle azioni.

  3. Verificare che la casella di controllo Enable SAML Authentication (attiva autenticazione SAML) sia selezionata.

  4. Inserisci l'URL dell'URI IdP (incluso "https://" ). Se si utilizza l'ID Entra, saltare questo passaggio.

  5. Modificare l'indirizzo del sistema host, se necessario. Questo è l'indirizzo a cui l'IdP indirizzerà dopo l'autenticazione. L'impostazione predefinita è l'indirizzo IP di gestione del cluster.

  6. Assicurarsi di utilizzare il certificato corretto:

    • Se il sistema è stato mappato con un solo certificato di tipo "server", il certificato viene considerato predefinito e non viene visualizzato.

    • Se il sistema è stato mappato con più certificati come tipo "server", viene visualizzato uno dei certificati. Per selezionare un certificato diverso, fare clic su Cambia.

  7. Fare clic su Save (Salva). Una finestra di conferma visualizza le informazioni sui metadati, che sono state copiate automaticamente negli Appunti.

  8. Accedi al sistema IdP specificato e copia i metadati dagli appunti per aggiornare i metadati di sistema. Se utilizzi l'ID Entra, copia l'URI dell'IdP in ONTAP dopo aver configurato l'ID Entra con i metadati di sistema.

  9. Tornare alla finestra di conferma (in System Manager) e selezionare la casella di controllo ho configurato IdP con l'URI host o i metadati.

  10. Fare clic su Logout per attivare l'autenticazione basata su SAML. Il sistema IdP visualizza una schermata di autenticazione.

  11. Nella pagina di accesso dell'IdP, inserisci le tue credenziali basate su SAML. Dopo la verifica delle credenziali, verrai indirizzato alla home page di System Manager.

CLI

  1. Creare una configurazione SAML in modo che ONTAP possa accedere ai metadati IdP:

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    idp_uri È l'indirizzo FTP o HTTP dell'host IdP da cui è possibile scaricare i metadati IdP.

    Nota Alcuni URL includono il carattere punto interrogativo (?). Il punto interrogativo attiva la guida attiva della riga di comando ONTAP . Per inserire un URL con un punto interrogativo, è necessario prima disattivare la guida attiva con il comando set -active-help false . L'aiuto attivo può essere successivamente riattivato con il comando set -active-help true . Scopri di più nel "Riferimento al comando ONTAP" .

    ontap_host_name È il nome host o l'indirizzo IP dell'host del provider di servizi SAML, che in questo caso è il sistema ONTAP. Per impostazione predefinita, viene utilizzato l'indirizzo IP della LIF di gestione del cluster.

    È possibile fornire le informazioni sul certificato del server ONTAP. Per impostazione predefinita, vengono utilizzate le informazioni del certificato del server Web ONTAP.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.

    Viene visualizzato l'URL per accedere ai metadati dell'host ONTAP.

  2. Dall'host IdP, configurare l'IdP Con i metadati dell'host ONTAP . Se si utilizza l'ID Entra, questo passaggio è già stato completato.

  3. Una volta configurato l'IdP, abilitare la configurazione SAML:

    security saml-sp modify -is-enabled true

    Qualsiasi utente esistente che accede a. http oppure ontapi L'applicazione viene configurata automaticamente per l'autenticazione SAML.

  4. Se vuoi creare utenti per il http O ontapi applicazione dopo la configurazione di SAML, specificare SAML come metodo di autenticazione per i nuovi utenti. Prima di ONTAP 9.17.1, un login SAML veniva creato automaticamente per gli utenti esistenti. http O ontapi utenti quando SAML è abilitato. I nuovi utenti devono essere configurati per SAML. A partire da ONTAP 9.17.1, tutti gli utenti creati con password , domain , O nsswitch i metodi di autenticazione vengono autenticati automaticamente rispetto all'IdP quando SAML è abilitato.

    1. Crea un metodo di accesso per i nuovi utenti con autenticazione SAML . user_name deve corrispondere al nome utente configurato nell'IdP:

      Nota Il user_name valore è sensibile al maiuscolo/minuscolo. Includere solo il nome utente e non includere alcuna parte del dominio.

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      Esempio:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12

    2. Verificare che la voce utente sia stata creata:

      security login show

      Esempio:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

    + Ulteriori informazioni su security login show nella "Riferimento al comando ONTAP".

Disattiva l'autenticazione SAML

È possibile disabilitare l'autenticazione SAML quando si desidera interrompere l'autenticazione degli utenti remoti di System Manager con un provider di identità (IdP) esterno. Quando l'autenticazione SAML è disabilitata, per autenticare gli utenti vengono utilizzati l'autenticazione utente locale o i provider di servizi di directory configurati, come Active Directory e LDAP.

A seconda dell'ambiente in uso, effettuare le seguenti operazioni:

Esempio 1. Fasi
System Manager

  1. Fare clic su Cluster > Settings (Cluster > Impostazioni).

  2. In SAML Authentication, fare clic sul pulsante di commutazione Enabled.

  3. Optional: È anche possibile fare clic su Icona delle azioni accanto a autenticazione SAML, quindi deselezionare la casella di controllo Abilita autenticazione SAML.

CLI

  1. Disattiva autenticazione SAML:

    security saml-sp modify -is-enabled false

  2. Se non si desidera più utilizzare l'autenticazione SAML o se si desidera modificare IdP, eliminare la configurazione SAML:

    security saml-sp delete

Configurare l'IdP di terze parti

A proposito di questa attività

Per autenticarsi con ONTAP, potrebbe essere necessario modificare le impostazioni del proprio IdP. Le sezioni seguenti forniscono informazioni di configurazione per gli IdP supportati.

ID entra

Durante la configurazione dell'ID Entra, creare una nuova applicazione e configurare l'accesso SAML con i metadati forniti da ONTAP. Dopo aver creato l'applicazione, modificare la sezione "Attributi e claim" delle impostazioni SAML dell'applicazione in modo che corrisponda a quanto segue:

Impostazione Valore

Nome

urna:oid:0.9.2342.19200300.100.1.1

Namespace

Lascia vuoto

Formato del nome

URI

Origine

Attributo

Attributo sorgente

utente.nomeprincipaleutente

Se vuoi utilizzare gruppi con ID Entra, aggiungi una richiesta di gruppo con le seguenti impostazioni:

Impostazione Valore

Nome

urna:oid:1.3.6.1.4.1.5923.1.5.1.1

Namespace

Lascia vuoto

Attributo sorgente

ID gruppo

L'ID Entra fornisce informazioni sul gruppo in formato UUID. Per ulteriori informazioni sull'utilizzo dei gruppi con l'ID Entra, fare riferimento a "Gestire i gruppi con UUID" .

L'URL dei metadati della federazione delle app fornito nella sezione "Certificato SAML" delle impostazioni SAML dell'applicazione è l'URI IdP che verrà immesso in ONTAP.

Per informazioni sulla configurazione dell'autenticazione multifattoriale Entra ID, fare riferimento a "Pianificare una distribuzione dell'autenticazione multifattoriale Microsoft Entra" .

Per ulteriori informazioni, fare riferimento al "Documentazione ID Entra" .

Servizi di federazione di Active Directory

Durante la configurazione di Active Directory Federation Services (AD FS), è necessario aggiungere un nuovo Relying Party Trust con riconoscimento delle attestazioni, con i metadati del provider di servizi forniti da ONTAP. Una volta creato il Relying Party Trust, aggiungere le seguenti regole di attestazione alla Policy di rilascio delle attestazioni del Relying Party Trust utilizzando il modello "Invia attributi LDAP come attestazioni":

Archivio attributi Attributo LDAP Tipo di richiesta in uscita

Active Directory

Nome account SAM

ID nome

Active Directory

Nome account SAM

urna:oid:0.9.2342.19200300.100.1.1

Active Directory

Formato del nome

urn:oasis:names:tc:SAML:2.0:formato nome-attributo:uri

Active Directory

Gruppi di token - Qualificati dal nome di dominio

urna:oid:1.3.6.1.4.1.5923.1.5.1.1

Active Directory

sAMAccountName

urna:oid:1.2.840.113556.1.4.221

AD FS fornisce informazioni sui gruppi in formato nome. Per ulteriori informazioni sull'utilizzo dei gruppi con AD FS, fare riferimento a "Gestire i gruppi con nomi" .

Per ulteriori informazioni, fare riferimento al "Documentazione AD FS" .

Cisco Duo

Fare riferimento al "Documentazione di Cisco Duo" per informazioni sulla configurazione.

Shibboleth

Prima di configurare l'IdP Shibboleth, è necessario aver configurato un server LDAP.

Quando si abilita SAML su ONTAP, salvare l'XML dei metadati host fornito. Sull'host in cui è installato Shibboleth, sostituire il contenuto di metadata/sp-metadata.xml con i metadati XML dell'host all'interno della directory home dell'IdP Shibboleth.

Per ulteriori informazioni, fare riferimento a "Shibboleth" .

Risolvere i problemi relativi alla configurazione SAML

Se la configurazione dell'autenticazione SAML (Security Assertion Markup Language) non riesce, è possibile riparare manualmente ogni nodo su cui la configurazione SAML ha avuto esito negativo e ripristinarlo in caso di errore. Durante il processo di riparazione, il server Web viene riavviato e tutte le connessioni HTTP o HTTPS attive vengono interrompute.

A proposito di questa attività

Quando si configura l'autenticazione SAML, ONTAP applica la configurazione SAML per nodo. Quando si attiva l'autenticazione SAML, ONTAP tenta automaticamente di riparare ogni nodo in caso di problemi di configurazione. In caso di problemi con la configurazione SAML su qualsiasi nodo, è possibile disattivare l'autenticazione SAML e riattivarla. Possono verificarsi situazioni in cui la configurazione SAML non viene applicata a uno o più nodi anche dopo aver riattivato l'autenticazione SAML. È possibile identificare il nodo su cui si è verificato un errore nella configurazione SAML e quindi riparare manualmente tale nodo.

Fasi

  1. Accedere al livello di privilegio avanzato:

    set -privilege advanced

  2. Identificare il nodo su cui la configurazione SAML non ha avuto esito positivo:

    security saml-sp status show -instance

    Esempio:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Ulteriori informazioni su security saml-sp status show nella "Riferimento al comando ONTAP".

  3. Riparare la configurazione SAML sul nodo guasto:

    security saml-sp repair -node <node_name>

    Esempio:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Il server Web viene riavviato e tutte le connessioni HTTP o HTTPS attive vengono interrompute.

    Ulteriori informazioni su security saml-sp repair nella "Riferimento al comando ONTAP".

  4. Verificare che SAML sia configurato correttamente su tutti i nodi:

    security saml-sp status show -instance

    Esempio:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Ulteriori informazioni su security saml-sp status show nella "Riferimento al comando ONTAP".

Informazioni correlate