Skip to main content
SANtricity software
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

SANtricity System Manager에서 SAML 구성

PDF

액세스 관리 인증을 구성하려면 스토리지 어레이에 내장된 SAML(Security Assertion Markup Language) 기능을 사용할 수 있습니다. 이 구성은 ID 공급자와 스토리지 공급자 간의 연결을 설정합니다.

시작하기 전에

  • 보안 관리자 권한이 포함된 사용자 프로필로 로그인해야 합니다. 그렇지 않으면 액세스 관리 기능이 표시되지 않습니다.

  • 스토리지 어레이에 있는 각 컨트롤러의 IP 주소 또는 도메인 이름을 알아야 합니다.

  • IdP 관리자가 IdP 시스템을 구성했습니다.

  • IdP 관리자가 IdP가 인증 시 이름 ID를 반환하는 기능을 지원하는지 확인했습니다.

  • 관리자가 IdP 서버와 컨트롤러의 시계가 동기화되었는지 확인했습니다(NTP 서버를 통해 또는 컨트롤러 시계 설정을 조정하여).

  • IdP 메타데이터 파일은 IdP 시스템에서 다운로드되어 System Manager에 액세스하는 데 사용되는 로컬 시스템에서 사용할 수 있습니다.

이 작업 정보

ID 공급자(IdP)는 사용자로부터 자격 증명을 요청하고 해당 사용자가 성공적으로 인증되었는지 여부를 확인하는 데 사용되는 외부 시스템입니다. IdP는 다단계 인증을 제공하고 Active Directory와 같은 사용자 데이터베이스를 사용하도록 구성할 수 있습니다. 보안 팀은 IdP를 유지 관리할 책임이 있습니다. 서비스 공급자(SP)는 사용자 인증 및 액세스를 제어하는 시스템입니다. 액세스 관리가 SAML로 구성된 경우 스토리지 어레이는 ID 공급자로부터 인증을 요청하는 서비스 공급자 역할을 합니다. IdP와 스토리지 어레이 간의 연결을 설정하려면 두 엔티티 간에 메타데이터 파일을 공유해야 합니다. 그런 다음 IdP 사용자 엔티티를 스토리지 어레이 역할에 매핑합니다. 마지막으로 SAML을 활성화하기 전에 연결 및 SSO 로그인을 테스트합니다.

참고

SAML 및 디렉터리 서비스. 디렉터리 서비스가 인증 방법으로 구성된 경우 SAML을 활성화하면 System Manager에서 디렉터리 서비스보다 SAML이 우선 적용됩니다. 나중에 SAML을 비활성화하면 디렉터리 서비스 구성이 이전 구성으로 돌아갑니다.
주의

편집 및 비활성화. SAML이 활성화되면 사용자 인터페이스를 통해 비활성화_할 수 없으며_ IdP 설정을 편집할 수도 없습니다. SAML 구성을 비활성화하거나 편집해야 하는 경우 기술 지원팀에 문의하십시오.

SAML 인증 구성은 여러 단계로 이루어진 절차입니다.

1단계: IdP 메타데이터 파일을 업로드합니다

스토리지 어레이에 IdP 연결 정보를 제공하려면 System Manager에 IdP 메타데이터를 가져와야 합니다. IdP 시스템은 인증 요청을 올바른 URL로 리디렉션하고 수신된 응답을 검증하기 위해 이 메타데이터가 필요합니다. 컨트롤러가 두 개 있더라도 스토리지 어레이용 메타데이터 파일은 하나만 업로드하면 됩니다.

단계

  1. 메뉴:설정[액세스 관리]를 선택합니다.

  2. SAML 탭을 선택합니다.

    이 페이지에는 구성 단계에 대한 개요가 표시됩니다.

  3. ID 공급자(IdP) 파일 가져오기 링크를 클릭합니다.

    Identity Provider 파일 가져오기 대화 상자가 열립니다.

  4. *찾아보기*를 클릭하여 로컬 시스템에 복사한 IdP 메타데이터 파일을 선택하고 업로드하세요.

    파일을 선택하면 IdP 엔티티 ID가 표시됩니다.

  5. *가져오기*를 클릭합니다.

2단계: Service Provider 파일 내보내기

IdP와 스토리지 어레이 간의 신뢰 관계를 설정하려면 서비스 공급자 메타데이터를 IdP로 가져와야 합니다. IdP는 컨트롤러와의 신뢰 관계를 설정하고 권한 부여 요청을 처리하기 위해 이 메타데이터가 필요합니다. 이 파일에는 컨트롤러 도메인 이름이나 IP 주소와 같은 정보가 포함되어 있어 IdP가 서비스 공급자와 통신할 수 있습니다.

단계

  1. 서비스 공급자 파일 내보내기 링크를 클릭합니다.

    서비스 공급자 파일 내보내기 대화 상자가 열립니다.

  2. 컨트롤러 A 필드에 컨트롤러 IP 주소 또는 DNS 이름을 입력한 다음 내보내기*를 클릭하여 메타데이터 파일을 로컬 시스템에 저장합니다. 스토리지 어레이에 컨트롤러가 두 개 포함된 경우 *컨트롤러 B 필드에서 두 번째 컨트롤러에 대해 이 단계를 반복합니다.

    *내보내기*를 클릭하면 서비스 공급자 메타데이터가 로컬 시스템으로 다운로드됩니다. 파일이 저장된 위치를 기록해 두십시오.

  3. 로컬 시스템에서 내보낸 서비스 공급자 메타데이터 파일을 찾으십시오.

    각 컨트롤러마다 XML 형식의 파일이 하나씩 있습니다.

  4. IdP 서버에서 서비스 공급자 메타데이터 파일을 가져와 신뢰 관계를 설정합니다. 파일을 직접 가져오거나 파일에서 컨트롤러 정보를 수동으로 입력할 수 있습니다.

3단계: 역할 매핑

사용자에게 System Manager에 대한 권한 및 액세스 권한을 부여하려면 IdP 사용자 속성과 그룹 멤버십을 스토리지 어레이의 사전 정의된 역할에 매핑해야 합니다.

시작하기 전에

  • IdP 관리자가 IdP 시스템에서 사용자 속성 및 그룹 멤버십을 구성했습니다.

  • IdP 메타데이터 파일을 System Manager로 가져옵니다.

  • 각 컨트롤러에 대한 Service Provider 메타데이터 파일이 신뢰 관계를 위해 IdP 시스템으로 가져와집니다.

단계

  1. System Manager 역할 매핑 링크를 클릭합니다.

    역할 매핑 대화 상자가 열립니다.

  2. IdP 사용자 속성과 그룹을 미리 정의된 역할에 할당합니다. 하나의 그룹에는 여러 개의 역할을 할당할 수 있습니다.

    필드 세부 정보
    설정 설명

    매핑

    사용자 속성

    매핑할 SAML 그룹의 속성(예: "member of")을 지정합니다.

    속성 값

    매핑할 그룹의 속성 값을 지정합니다. 정규 표현식이 지원됩니다. 다음 특수 정규 표현식 문자는 정규 표현식 패턴의 일부가 아닌 경우 백슬래시(`\`로 이스케이프해야 합니다: \.[]{}()<>*+-=!?^$

    역할

    해당 필드를 클릭하고 스토리지 어레이의 역할 중 하나를 선택하여 속성에 매핑하십시오. 포함할 각 역할은 개별적으로 선택해야 합니다. System Manager에 로그인하려면 Monitor 역할이 다른 역할들과 함께 필요합니다. 또한 하나 이상의 그룹에 대해 Security Admin 역할이 필요합니다.

    매핑된 역할에는 다음 권한이 포함됩니다.

    • Storage admin — 스토리지 객체(예: 볼륨 및 디스크 풀)에 대한 전체 읽기/쓰기 액세스 권한이 있지만 보안 구성에 대한 액세스 권한은 없습니다.

    • 보안 관리자 — Access Management의 보안 구성, 인증서 관리, 감사 로그 관리 및 레거시 관리 인터페이스(SYMbol)를 켜거나 끌 수 있는 기능에 대한 액세스 권한.

    • 지원 관리자 — 스토리지 어레이의 모든 하드웨어 리소스, 장애 데이터, MEL 이벤트 및 컨트롤러 펌웨어 업그레이드에 액세스할 수 있습니다. 스토리지 객체 또는 보안 구성에 대한 액세스 권한이 없습니다.

    • 모니터 — 모든 스토리지 객체에 대한 읽기 전용 액세스 권한이 있지만 보안 구성에 대한 액세스 권한은 없습니다.
    참고

    관리자를 포함한 모든 사용자에게 Monitor 역할이 필요합니다. Monitor 역할이 없으면 System Manager가 어떤 사용자에 대해서도 올바르게 작동하지 않습니다.

  3. 원하는 경우 *Add another mapping*을 클릭하여 그룹-역할 매핑을 더 입력할 수 있습니다.

    참고

    SAML을 활성화한 후 역할 매핑을 수정할 수 있습니다.

  4. 매핑 작업을 완료했으면 * 저장 * 을 클릭합니다.

4단계: SSO 로그인 테스트

IdP 시스템과 스토리지 어레이가 통신할 수 있는지 확인하기 위해 선택적으로 SSO 로그인을 테스트할 수 있습니다. 이 테스트는 SAML 활성화의 마지막 단계에서도 수행됩니다.

시작하기 전에

  • IdP 메타데이터 파일을 System Manager로 가져옵니다.

  • 각 컨트롤러에 대한 Service Provider 메타데이터 파일이 신뢰 관계를 위해 IdP 시스템으로 가져와집니다.

단계

  1. SSO 로그인 테스트 링크를 선택합니다.

    SSO 자격 증명을 입력하기 위한 대화 상자가 열립니다.

  2. Security Admin 권한과 Monitor 권한을 모두 가진 사용자의 로그인 자격 증명을 입력하십시오.

    시스템이 로그인을 테스트하는 동안 대화 상자가 열립니다.

  3. 테스트 성공 메시지를 확인하세요. 테스트가 성공적으로 완료되면 SAML 활성화를 위한 다음 단계로 진행하세요.

    테스트가 성공적으로 완료되지 않으면 추가 정보가 포함된 오류 메시지가 표시됩니다. 다음 사항을 확인하십시오.

    • 해당 사용자는 Security Admin 및 Monitor 권한을 가진 그룹에 속해 있습니다.

    • IdP 서버에 업로드한 메타데이터가 올바릅니다.

    • SP 메타데이터 파일의 컨트롤러 주소가 올바릅니다.

5단계: SAML 활성화

마지막 단계는 사용자 인증을 위한 SAML 구성을 완료하는 것입니다. 이 과정에서 시스템은 SSO 로그인 테스트를 진행하도록 안내합니다. SSO 로그인 테스트 과정은 이전 단계에서 설명했습니다.

시작하기 전에

  • IdP 메타데이터 파일을 System Manager로 가져옵니다.

  • 각 컨트롤러에 대한 Service Provider 메타데이터 파일이 신뢰 관계를 위해 IdP 시스템으로 가져와집니다.

  • 모니터 역할 매핑과 보안 관리자 역할 매핑이 각각 하나 이상 구성되어 있습니다.

주의

편집 및 비활성화. SAML이 활성화되면 사용자 인터페이스를 통해 비활성화_할 수 없으며_ IdP 설정을 편집할 수도 없습니다. SAML 구성을 비활성화하거나 편집해야 하는 경우 기술 지원팀에 문의하십시오.
단계

  1. SAML 탭에서 SAML 활성화 링크를 선택합니다.

    SAML 활성화 확인 대화 상자가 열립니다.

  2. `enable`를 입력한 다음 *Enable*을 클릭합니다.

  3. SSO 로그인 테스트를 위해 사용자 자격 증명을 입력하십시오.

결과

시스템에서 SAML을 활성화하면 모든 활성 세션을 종료하고 SAML을 통해 사용자 인증을 시작합니다.