SAML 인증을 구성합니다
ONTAP 9.3부터 웹 서비스에 대한 SAML(Security Assertion Markup Language) 인증을 구성할 수 있습니다. SAML 인증이 구성 및 설정되면 사용자는 Active Directory 및 LDAP와 같은 디렉터리 서비스 공급자 대신 외부 ID 공급자(IDP)에 의해 인증됩니다.
SAML 인증을 활성화합니다
System Manager 또는 CLI를 사용하여 SAML 인증을 활성화하려면 다음 단계를 수행하십시오. 클러스터에서 ONTAP 9.7 이하를 실행 중인 경우에는 System Manager에서 따라야 하는 단계가 다릅니다. 시스템에서 사용할 수 있는 System Manager 온라인 도움말을 참조하십시오.
SAML 인증을 활성화한 후에는 원격 사용자만 System Manager GUI에 액세스할 수 있습니다. SAML 인증이 활성화된 후에는 로컬 사용자가 System Manager GUI에 액세스할 수 없습니다. |
-
원격 인증에 사용하려는 IDP를 구성해야 합니다.
구성한 IDP에서 제공하는 설명서를 참조하십시오.
-
IDP의 URI가 있어야 합니다.
-
SAML 인증은 'http' 및 'ontapi' 애플리케이션에만 적용됩니다.
http와 ontapi 애플리케이션은 서비스 프로세서 인프라, ONTAP API, System Manager 등의 웹 서비스에서 사용됩니다.
-
SAML 인증은 관리 SVM에 액세스하는 경우에만 적용됩니다.
다음 IdP는 System Manager에서 검증되었습니다.
-
Active Directory 페더레이션 서비스
-
Cisco Duo(다음 ONTAP 버전에서 검증:)
-
9.7P21 이상 9.7 릴리스(참조 "System Manager Classic 설명서")
-
9.8P17 이상 9.8 릴리스
-
9.9.1P13 이상 9.9 릴리스
-
9.10.1P9 이상 9.10 릴리스
-
9.11.1P4 이상 9.11 릴리즈
-
9.12.1 이상 릴리즈
-
-
시바볼레스
환경에 따라 다음 단계를 수행하십시오.
-
클러스터 > 설정 * 을 클릭합니다.
-
SAML 인증 * 옆에 있는 을 클릭합니다.
-
SAML 인증 활성화 * 확인란이 선택되어 있는지 확인합니다.
-
IDP URI의 URL(포함)을 입력합니다 .
-
필요한 경우 호스트 시스템 주소를 수정합니다.
-
올바른 인증서가 사용되고 있는지 확인합니다.
-
시스템이 "서버" 유형의 인증서를 하나만 사용하여 매핑된 경우 해당 인증서는 기본값으로 간주되어 표시되지 않습니다.
-
시스템이 여러 인증서를 "서버" 유형으로 매핑한 경우 인증서 중 하나가 표시됩니다. 다른 인증서를 선택하려면 * 변경 * 을 클릭합니다.
-
-
저장 * 을 클릭합니다. 확인 창에 메타데이터 정보가 표시되며, 이 정보는 클립보드에 자동으로 복사됩니다.
-
지정한 IDP 시스템으로 이동하고 클립보드에서 메타데이터를 복사하여 시스템 메타데이터를 업데이트합니다.
-
System Manager의 확인 창으로 돌아가서 * 호스트 URI 또는 메타데이터 * 를 사용하여 IDP를 구성했는지 * 확인란을 선택합니다.
-
SAML 기반 인증을 활성화하려면 * 로그아웃 * 을 클릭합니다. IDP 시스템에 인증 화면이 표시됩니다.
-
IdP 시스템에서 SAML 기반 자격 증명을 입력합니다. 자격 증명이 확인되면 System Manager 홈 페이지로 이동합니다.
-
SAML 구성을 생성하여 ONTAP가 IDP 메타데이터에 액세스할 수 있도록 합니다.
'* security SAML-SP create-IDP-Uri_IDP_Uri_-sp-host_ontap_host_name_ * '
IDP_Uri는 IDP 메타데이터를 다운로드할 수 있는 IDP 호스트의 FTP 또는 HTTP 주소입니다.
'ontap_host_name'은 SAML 서비스 공급자 호스트의 호스트 이름 또는 IP 주소이며, 이 경우 ONTAP 시스템입니다. 기본적으로 클러스터 관리 LIF의 IP 주소가 사용됩니다.
ONTAP 서버 인증서 정보를 선택적으로 제공할 수 있습니다. 기본적으로 ONTAP 웹 서버 인증서 정보가 사용됩니다.
cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 179] Job succeeded: Access the SAML SP metadata using the URL: https://10.0.0.1/saml-sp/Metadata Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.
ONTAP 호스트 메타데이터에 액세스할 수 있는 URL이 표시됩니다.
-
IDP 호스트에서 ONTAP 호스트 메타데이터를 사용하여 IDP를 구성합니다.
IDP 구성에 대한 자세한 내용은 IDP 설명서를 참조하십시오.
-
SAML 구성 활성화:
'* security SAML-SP modify -is-enabled true*'
'http' 또는 'ontapi' 애플리케이션에 액세스하는 기존 사용자는 자동으로 SAML 인증을 위해 구성됩니다.
-
SAML이 구성된 후 'http' 또는 'ontapi' 애플리케이션에 대한 사용자를 생성하려면 SAML을 새 사용자의 인증 방법으로 지정합니다.
-
SAML 인증을 사용하여 새 사용자에 대한 로그인 방법을 생성합니다. + `* 보안 로그인 create-user-or-group-name_user_name_-application [http|ontapi] -authentication-method SAML-vserver_svm_name_ * '
cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12
-
사용자 항목이 생성되었는지 확인합니다.
'* 보안 로그인 쇼 * '
cluster_12::> security login show Vserver: cluster_12 Second User/Group Authentication Acct Authentication Name Application Method Role Name Locked Method -------------- ----------- ------------- ---------------- ------ -------------- admin console password admin no none admin http password admin no none admin http saml admin - none admin ontapi password admin no none admin ontapi saml admin - none admin service-processor password admin no none admin ssh password admin no none admin1 http password backup no none **admin1 http saml backup - none**
-
SAML 인증을 비활성화합니다
외부 ID 공급자(IDP)를 사용하여 웹 사용자 인증을 중지하려면 SAML 인증을 사용하지 않도록 설정할 수 있습니다. SAML 인증이 비활성화되면 Active Directory 및 LDAP와 같이 구성된 디렉터리 서비스 공급자가 인증에 사용됩니다.
환경에 따라 다음 단계를 수행하십시오.
-
클러스터 > 설정 * 을 클릭합니다.
-
SAML Authentication * 에서 * Enabled * 토글 버튼을 클릭합니다.
-
선택 사항: * SAML 인증 * 옆에 있는 을 클릭한 다음 * SAML 인증 사용 * 확인란의 선택을 취소할 수도 있습니다.
-
SAML 인증 비활성화:
'* security SAML-SP modify -is-enabled false * '
-
SAML 인증을 더 이상 사용하지 않거나 IDP를 수정하려는 경우 SAML 구성을 삭제합니다.
'* 보안 SAML-SP 삭제 * '
SAML 구성 관련 문제를 해결합니다
SAML(Security Assertion Markup Language) 인증을 구성하지 못한 경우 SAML 구성이 실패한 각 노드를 수동으로 복구하고 장애를 복구할 수 있습니다. 복구 프로세스 중에 웹 서버가 다시 시작되고 활성 HTTP 연결 또는 HTTPS 연결이 중단됩니다.
SAML 인증을 구성할 경우 ONTAP는 노드별로 SAML 구성을 적용합니다. SAML 인증을 설정하면 구성 문제가 있는 경우 ONTAP에서 자동으로 각 노드를 복구하려고 시도합니다. 노드에서 SAML 구성에 문제가 있는 경우 SAML 인증을 비활성화한 다음 SAML 인증을 다시 활성화할 수 있습니다. SAML 인증을 다시 설정한 후에도 하나 이상의 노드에 SAML 구성이 적용되지 않는 경우가 있을 수 있습니다. SAML 구성이 실패한 노드를 확인한 다음 해당 노드를 수동으로 복구할 수 있습니다.
-
고급 권한 레벨에 로그인합니다.
' * set-Privilege advanced * '
-
SAML 구성이 실패한 노드 식별:
' * security SAML-SP status show-instance * '
cluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-failed Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file. SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.
-
장애가 발생한 노드에서 SAML 구성을 복구합니다.
'* security SAML-SP repair-node_node_name_ * '
cluster_12::*> security saml-sp repair -node node2 Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 181] Job is running. [Job 181] Job success.
웹 서버가 다시 시작되고 활성화된 HTTP 연결 또는 HTTPS 연결이 모두 중단됩니다.
-
모든 노드에서 SAML이 구성되었는지 확인합니다.
' * security SAML-SP status show-instance * '
cluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: **config-success** Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.