Configurar SAML
Para configurar a autenticação para o Access Management, você pode usar os recursos de Security Assertion Markup Language (SAML) incorporados no storage array. Esta configuração estabelece uma conexão entre um Provedor de identidade e o Provedor de armazenamento.
Um Provedor de identidade (IDP) é um sistema externo usado para solicitar credenciais de um usuário e para determinar se esse usuário foi autenticado com êxito. O IDP pode ser configurado para fornecer autenticação multifator e usar qualquer banco de dados de usuários, como o ative Directory. Sua equipe de segurança é responsável por manter o IDP. Um provedor de serviços (SP) é um sistema que controla a autenticação e o acesso do usuário. Quando o Gerenciamento de Acesso é configurado com SAML, o storage array atua como o provedor de serviços para solicitar autenticação do provedor de identidade. Para estabelecer uma conexão entre o IDP e o storage array, você compartilha arquivos de metadados entre essas duas entidades. Em seguida, você mapeia as entidades de usuário IDP para as funções de storage array. E, finalmente, você testa os logins de conexão e SSO antes de ativar o SAML.
SAML e Serviços de diretório. Se você ativar o SAML quando os Serviços de diretório estiverem configurados como o método de autenticação, o SAML substituirá os Serviços de diretório no System Manager. Se você desabilitar o SAML mais tarde, a configuração dos Serviços de diretório retornará à configuração anterior. |
Edição e desativação. Uma vez que o SAML está ativado, você não pode desabilitá-lo através da interface do usuário, nem pode editar as configurações de IDP. Se você precisar desativar ou editar a configuração SAML, entre em Contato com o suporte técnico para obter assistência. |
Configurar a autenticação SAML é um procedimento de várias etapas:
Passo 1: Faça o upload do arquivo de metadados IDP
Para fornecer ao storage array informações de conexão IDP, você importa metadados IDP para o System Manager.
-
Você deve estar conetado com um perfil de usuário que inclua permissões de administrador de segurança. Caso contrário, as funções de Gerenciamento de Acesso não aparecem.
-
Um administrador de IDP configurou um sistema de IDP.
-
Um administrador de IDP garantiu que o IDP suporta a capacidade de retornar um ID de nome na autenticação.
-
Um administrador garantiu que o servidor IDP e os relógios do controlador são sincronizados (através de um servidor NTP ou ajustando as definições do relógio do controlador).
-
Um arquivo de metadados IDP é baixado do sistema IDP e está disponível no sistema local usado para acessar o System Manager.
Nesta tarefa, você carrega um arquivo de metadados do IDP para o System Manager. O sistema de IDP precisa desses metadados para redirecionar as solicitações de autenticação para o URL correto e para validar as respostas recebidas. Você só precisa fazer o upload de um arquivo de metadados para o storage array, mesmo que haja dois controladores.
-
Selecione
. -
Selecione a guia SAML.
A página exibe uma visão geral das etapas de configuração.
-
Clique no link Import Identity Provider (IDP) file.
A caixa de diálogo Import Identity Provider File é aberta.
-
Clique em Procurar para selecionar e carregar o ficheiro de metadados IDP copiado para o sistema local.
Depois de selecionar o ficheiro, é apresentado o ID da entidade IDP.
-
Clique em Importar.
Passo 2: Exportar arquivos do provedor de serviços
Para estabelecer uma relação de confiança entre o IDP e o storage array, você importa os metadados do provedor de serviços para o IDP.
-
Você sabe o endereço IP ou o nome de domínio de cada controlador na matriz de armazenamento.
Nessa tarefa, você exporta metadados dos controladores (um arquivo para cada controlador). O IDP precisa desses metadados para estabelecer uma relação de confiança com os controladores e processar solicitações de autorização. O arquivo inclui informações como o nome de domínio do controlador ou endereço IP, para que o IDP possa se comunicar com os provedores de serviços.
-
Clique no link Exportar arquivos do provedor de serviços.
A caixa de diálogo Exportar arquivos do provedor de serviços é aberta.
-
Introduza o endereço IP do controlador ou o nome DNS no campo Controller A e, em seguida, clique em Export para guardar o ficheiro de metadados no sistema local. Se a matriz de armazenamento incluir dois controladores, repita esta etapa para o segundo controlador no campo Controller B.
Depois de clicar em Exportar, os metadados do fornecedor de serviços são transferidos para o seu sistema local. Anote onde o arquivo é armazenado.
-
No sistema local, localize o(s) arquivo(s) de metadados do provedor de serviços que você exportou.
Há um arquivo formatado em XML para cada controlador.
-
A partir do servidor IDP, importe o(s) arquivo(s) de metadados do provedor de serviços para estabelecer a relação de confiança. Pode importar os ficheiros diretamente ou pode introduzir manualmente as informações do controlador a partir dos ficheiros.
Passo 3: Mapear funções
Para fornecer aos usuários autorização e acesso ao System Manager, é necessário mapear os atributos de usuário e associações a grupos de IDP para as funções predefinidas do storage array.
-
Um administrador de IDP configurou atributos de usuário e associação de grupo no sistema de IDP.
-
O arquivo de metadados IDP é importado para o System Manager.
-
Um arquivo de metadados do provedor de serviços para cada controlador é importado para o sistema IDP para a relação de confiança.
Nesta tarefa, use o System Manager para mapear grupos de IDP para funções de usuário locais.
-
Clique no link para mapear funções do System Manager.
A caixa de diálogo Mapeamento de função é aberta.
-
Atribua atributos de usuário e grupos IDP às funções predefinidas. Um grupo pode ter várias funções atribuídas.
Detalhes do campo
Definição Descrição Mapeamentos
Atributo do utilizador
Especifique o atributo (por exemplo, "membro de") para o grupo SAML a ser mapeado.
Valor do atributo
Especifique o valor do atributo para o grupo a ser mapeado.
Funções
A função Monitor é necessária para todos os usuários, incluindo o administrador. O System Manager não funcionará corretamente para nenhum usuário sem a função Monitor presente.
-
Se desejar, clique em Adicionar outro mapeamento para inserir mais mapeamentos de grupo para função.
Mapeamentos de função podem ser modificados depois que o SAML estiver habilitado.
-
Quando terminar com os mapeamentos, clique em Salvar.
Passo 4: Teste o login SSO
Para garantir que o sistema IDP e o storage array possam se comunicar, você pode testar opcionalmente um login SSO. Este teste também é realizado durante a etapa final para ativar o SAML.
-
O arquivo de metadados IDP é importado para o System Manager.
-
Um arquivo de metadados do provedor de serviços para cada controlador é importado para o sistema IDP para a relação de confiança.
-
Selecione o link Test SSO Login.
Abre-se uma caixa de diálogo para introduzir credenciais SSO.
-
Insira credenciais de login para um usuário com permissões de Administrador de Segurança e permissões de Monitor.
Abre-se uma caixa de diálogo enquanto o sistema testa o início de sessão.
-
Procure uma mensagem Teste bem-sucedida. Se o teste for concluído com êxito, vá para a próxima etapa para ativar o SAML.
Se o teste não for concluído com êxito, é apresentada uma mensagem de erro com mais informações. Certifique-se de que:
-
O usuário pertence a um grupo com permissões para Administrador de Segurança e Monitor.
-
Os metadados carregados para o servidor IDP estão corretos.
-
Os endereços do controlador nos arquivos de metadados do SP estão corretos.
-
Passo 5: Ative o SAML
Sua etapa final é habilitar a autenticação de usuário SAML.
-
O arquivo de metadados IDP é importado para o System Manager.
-
Um arquivo de metadados do provedor de serviços para cada controlador é importado para o sistema IDP para a relação de confiança.
-
Pelo menos um mapeamento de função Monitor e um Admin de segurança está configurado.
Esta tarefa descreve como concluir a configuração SAML para autenticação do usuário. Durante esse processo, o sistema também solicita que você teste um login SSO. O processo de teste SSO Login é descrito na etapa anterior.
Edição e desativação. Uma vez que o SAML está ativado, você não pode desabilitá-lo através da interface do usuário, nem pode editar as configurações de IDP. Se você precisar desativar ou editar a configuração SAML, entre em Contato com o suporte técnico para obter assistência. |
-
Na guia SAML, selecione o link Ativar SAML.
A caixa de diálogo Confirm Enable SAML (confirmar ativação SAML*) é aberta
-
Digite `enable`e clique em Ativar.
-
Insira as credenciais do usuário para um teste de login SSO.
Depois que o sistema ativa o SAML, ele termina todas as sessões ativas e começa a autenticar usuários por meio do SAML.