Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar autenticação SAML para usuários remotos do ONTAP

Colaboradores netapp-bhouser netapp-dbagwell netapp-aaron-holt netapp-mwallis netapp-thomi netapp-aherbin
PDFs

A partir do ONTAP 9.3, você pode configurar a autenticação SAML (Security Assertion Markup Language) para serviços web. Quando a autenticação SAML está configurada e habilitada, os usuários são autenticados por um Provedor de Identidade (IdP) externo, em vez dos provedores de serviços de diretório, como Active Directory e LDAP. Quando a autenticação SAML está desabilitada, os provedores de serviços de diretório configurados, como Active Directory e LDAP, são usados para autenticação.

Ativar a autenticação SAML

Para ativar a autenticação SAML com o System Manager ou com a CLI, execute as seguintes etapas. Se o cluster estiver executando o ONTAP 9.7 ou anterior, as etapas do Gerenciador de sistema que você precisa seguir serão diferentes. Consulte a ajuda online do System Manager disponível no seu sistema.

Observação Após habilitar a autenticação SAML, somente usuários remotos configurados para autenticação SAML poderão acessar a interface gráfica do usuário do Gerenciador de Sistemas. Usuários locais não poderão acessar a interface gráfica do usuário do Gerenciador de Sistemas após a autenticação SAML ser habilitada.

Fluxo de trabalho da tarefa de configuração da autenticação multifator com SAML

Sobre esta tarefa

  • A autenticação SAML se aplica somente ao ONTAP http e ontapi aplicações.

    O http e ontapi Os aplicativos são usados pelos seguintes serviços da web: Infraestrutura do Processador de Serviços, APIs ONTAP e Gerenciador do Sistema.

  • A autenticação SAML é aplicável apenas para acessar o SVM admin.

  • A partir do ONTAP 9.17.1, as informações de grupo fornecidas pelo IdP podem ser mapeadas para funções do ONTAP . Isso permite atribuir funções a usuários com base em grupos definidos no IdP. Para obter mais informações, consulte "Trabalhando com grupos OAuth 2.0 ou SAML IdP no ONTAP" .

Os seguintes IDPs foram validados com o System Manager:

  • ID do Microsoft Entra (validado com ONTAP 9.17.1 e posterior)

  • Serviços de Federação do ative Directory

  • Cisco Duo (validado com as seguintes versões do ONTAP :)

    • 9.7P21 e versões posteriores do 9,7 (consulte a "Documentação do System Manager Classic")

    • Lançamentos de patch 9.8P17 e posteriores 9.8

    • Lançamentos de patch 9.9.1P13 e posteriores 9.9.1

    • Versões de patch 9.10.1P9 e posteriores 9.10.1

    • Versões de patch 9.11.1P4 e posteriores 9.11.1

    • 9.12.1 e versões posteriores

  • Shibboleth

Antes de começar

  • O IdP que você planeja usar para autenticação remota deve ser configurado. Você precisa ter o URI do IdP. URI do IdP é o endereço web para o qual o ONTAP envia solicitações de autenticação e recebe respostas.

  • A porta 443 deve estar aberta entre o cluster ONTAP e o IdP.

  • O cluster ONTAP e o IdP devem ser capazes de executar ping no nome de domínio totalmente qualificado um do outro. Certifique-se de que o DNS esteja configurado corretamente e que o certificado do cluster não esteja expirado.

  • Se necessário, adicione a autoridade de certificação confiável (CA) do IdP ao ONTAP. Você pode "gerenciar certificados ONTAP com o System Manager" . Talvez seja necessário configurar o certificado do cluster ONTAP no IdP.

  • Você deve conseguir acessar o cluster ONTAP "Processador de Serviço (SP)" console. Se o SAML estiver configurado incorretamente, você precisará desabilitá-lo no console do SP .

  • Se você estiver usando o Entra ID (validado a partir do ONTAP 9.17.1), será necessário configurar o Entra ID com os metadados do ONTAP antes de criar a configuração SAML do ONTAP . O Entra ID não fornecerá o URI do IdP até que seja configurado com os metadados do ONTAP . O URI do IdP é necessário para criar a configuração SAML do ONTAP .

    • Se você estiver usando o Gerenciador de Sistemas para configurar o SAML, deixe o campo URI do IdP em branco até que o Gerenciador de Sistemas forneça os metadados do ONTAP . Configure o ID do Entra com os metadados do ONTAP e copie o URI do IdP para o Gerenciador de Sistemas antes de habilitar a configuração do SAML.

    • Se estiver usando a CLI do ONTAP para configurar o SAML, você precisará gerar os metadados do ONTAP antes de habilitar a configuração do SAML do ONTAP . Você pode gerar o arquivo de metadados do ONTAP com o seguinte comando:

      security saml-sp default-metadata create -sp-host <ontap_host_name>

      ontap_host_name é o nome do host ou endereço IP do host do provedor de serviços SAML, que neste caso é o sistema ONTAP . Por padrão, é usado o endereço IP de gerenciamento do cluster. Opcionalmente, você pode fornecer as informações do certificado do servidor ONTAP . Por padrão, são usadas as informações do certificado do servidor web ONTAP .

    Configure o Entra ID com os metadados fornecidos. Você precisa configurar o Entra ID antes de criar a configuração SAML do ONTAP . Após a configuração do Entra, prossiga com o procedimento CLI abaixo.

    • Não é possível gerar os metadados ONTAP para o Entra ID até que todos os nós no cluster estejam na versão 9.17.1.

Passos

Execute as seguintes etapas, dependendo do ambiente:

System Manager

  1. Clique em Cluster > Settings.

  2. Ao lado de Autenticação SAML, clique Ícone açõesem .

  3. Verifique se há uma verificação na caixa de seleção Ativar autenticação SAML.

  4. Insira a URL do URI do IdP (incluindo "https://" ). Se você estiver usando o Entra ID, pule esta etapa.

  5. Modifique o endereço do sistema host, se necessário. Este é o endereço para o qual o IdP direcionará após a autenticação. O padrão é o endereço IP de gerenciamento do cluster.

  6. Certifique-se de que está a ser utilizado o certificado correto:

    • Se o seu sistema foi mapeado com apenas um certificado com o tipo "servidor", esse certificado é considerado o padrão e não é exibido.

    • Se o seu sistema foi mapeado com vários certificados como tipo "servidor", um dos certificados será exibido. Para selecionar um certificado diferente, clique em alterar.

  7. Clique em Salvar. Uma janela de confirmação exibe as informações de metadados, que foram copiadas automaticamente para a área de transferência.

  8. Acesse o sistema IdP especificado e copie os metadados da sua área de transferência para atualizar os metadados do sistema. Se estiver usando o Entra ID, copie o URI do IdP para o ONTAP após configurar o Entra ID com os metadados do sistema.

  9. Retorne à janela de confirmação (no System Manager) e marque a caixa de seleção Eu configurei o IDP com o URI do host ou metadados.

  10. Clique em Logout para ativar a autenticação baseada em SAML. O sistema IDP exibirá uma tela de autenticação.

  11. Na página de login do IdP, insira suas credenciais baseadas em SAML. Após a verificação das suas credenciais, você será direcionado para a página inicial do Gerenciador de Sistemas.

CLI

  1. Crie uma configuração SAML para que o ONTAP possa acessar os metadados do IDP:

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    idp_uri É o endereço FTP ou HTTP do host IDP de onde os metadados IDP podem ser baixados.

    Observação Algumas URLs incluem o caractere de ponto de interrogação (?). O ponto de interrogação ativa a ajuda ativa da linha de comando do ONTAP . Para inserir uma URL com um ponto de interrogação, você precisa primeiro desativar a ajuda ativa com o comando set -active-help false . A ajuda ativa pode ser reativada posteriormente com o comando set -active-help true . Saiba mais em "Referência do comando ONTAP" .

    ontap_host_name É o nome do host ou endereço IP do host do provedor de serviços SAML, que neste caso é o sistema ONTAP. Por padrão, o endereço IP do LIF de gerenciamento de cluster é usado.

    Opcionalmente, você pode fornecer as informações do certificado do servidor ONTAP. Por padrão, as informações de certificado do servidor Web do ONTAP são usadas.

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.

    O URL para acessar os metadados do host do ONTAP é exibido.

  2. Do host IdP, configurar o IdP com os metadados do host ONTAP . Se estiver usando o Entra ID, você já concluiu esta etapa.

  3. Depois que o IdP estiver configurado, habilite a configuração SAML:

    security saml-sp modify -is-enabled true

    Qualquer usuário existente que acesse o http aplicativo ou ontapi é configurado automaticamente para autenticação SAML.

  4. Se você deseja criar usuários para o http ou ontapi Após a configuração do SAML, especifique SAML como o método de autenticação para os novos usuários. Antes do ONTAP 9.17.1, um login SAML era criado automaticamente para os usuários existentes. http ou ontapi usuários quando o SAML estiver habilitado. Novos usuários devem ser configurados para SAML. A partir do ONTAP 9.17.1, todos os usuários criados com password , domain , ou nsswitch Os métodos de autenticação são autenticados automaticamente no IdP quando o SAML está habilitado.

    1. Crie um método de login para novos usuários com autenticação SAML . user_name deve corresponder ao nome de usuário configurado no IdP:

      Observação O user_name valor é sensível a maiúsculas e minúsculas. Inclua apenas o nome de usuário e não inclua nenhuma parte do domínio.

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      Exemplo:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12

    2. Verifique se a entrada do usuário foi criada:

      security login show

      Exemplo:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

    + Saiba mais sobre security login show o "Referência do comando ONTAP"na .

Desativar a autenticação SAML

Você pode desabilitar a autenticação SAML quando quiser interromper a autenticação de usuários remotos do System Manager com um Provedor de Identidade (IdP) externo. Quando a autenticação SAML está desabilitada, a autenticação de usuários locais ou os provedores de serviços de diretório configurados, como Active Directory e LDAP, são usados para autenticar usuários.

Execute as seguintes etapas, dependendo do ambiente:

Exemplo 1. Passos
System Manager

  1. Clique em Cluster > Settings.

  2. Em Autenticação SAML, clique no botão de alternância Enabled.

  3. Opcional: Você também pode clicar Ícone ações ao lado de Autenticação SAML e, em seguida, desmarcar a caixa de seleção Ativar autenticação SAML.

CLI

  1. Desativar autenticação SAML:

    security saml-sp modify -is-enabled false

  2. Se você não quiser mais usar a autenticação SAML ou se quiser modificar o IDP, exclua a configuração SAML:

    security saml-sp delete

Configurar IdP de terceiros

Sobre esta tarefa

Para autenticar com o ONTAP, talvez seja necessário alterar as configurações do seu IdP. As seções a seguir fornecem informações de configuração para os IdPs suportados.

ID entra

Ao configurar o Entra ID, crie um novo aplicativo e configure o logon SAML com os metadados fornecidos pelo ONTAP. Após a criação do aplicativo, edite a seção "Atributos e Declarações" das configurações SAML do aplicativo para corresponder ao seguinte:

Definição Valor

Nome

urna:oide:0.9.2342.19200300.100.1.1

Namespace

Deixar em branco

Formato do nome

URI

Fonte

Atributo

Atributo de origem

usuário.nomeprincipaldousuário

Se você quiser usar grupos com Entra ID, adicione uma reivindicação de grupo com as seguintes configurações:

Definição Valor

Nome

urna:oide:1.3.6.1.4.1.5923.1.5.1.1

Namespace

Deixar em branco

Atributo de origem

ID do grupo

O Entra ID fornece informações de grupo no formato UUID. Para obter mais informações sobre como usar grupos com o Entra ID, consulte "Gerenciar grupos com UUIDs" .

O URL de metadados da federação do aplicativo fornecido na seção "Certificado SAML" das configurações SAML do aplicativo é o URI do IdP que você inserirá no ONTAP.

Para obter informações sobre como configurar a autenticação multifator do Entra ID, consulte "Planejar uma implantação de autenticação multifator do Microsoft Entra" .

Para mais informações, consulte o "Documentação de identificação extra" .

Serviços de Federação do ative Directory

Ao configurar os Serviços de Federação do Active Directory (AD FS), você deve adicionar uma nova Parte Confiável com reconhecimento de declarações com os metadados do provedor de serviços fornecidos pelo ONTAP. Após a criação da Parte Confiável, adicione as seguintes regras de declaração à Política de Emissão de Declaração da Parte Confiável usando o modelo "Enviar Atributos LDAP como Declarações":

Armazenamento de atributos Atributo LDAP Tipo de reivindicação de saída

Ative Directory

Nome da conta SAM

Nome ID

Ative Directory

Nome da conta SAM

urna:oide:0.9.2342.19200300.100.1.1

Ative Directory

Formato do nome

urna:oásis:nomes:tc:SAML:2.0:nome-de-atributo-formato:uri

Ative Directory

Grupos de tokens - qualificados por nome de domínio

urna:oide:1.3.6.1.4.1.5923.1.5.1.1

Ative Directory

sAMAccountName

urna:oid:1.2.840.113556.1.4.221

O AD FS fornece informações de grupo em formato de nome. Para obter mais informações sobre como usar grupos com o AD FS, consulte "Gerenciar grupos com nomes" .

Para mais informações, consulte o "Documentação do AD FS" .

Cisco Duo

Consulte o "Documentação do Cisco Duo" para obter informações de configuração.

Shibboleth

Antes de configurar o Shibboleth IdP, você deve ter configurado um servidor LDAP.

Ao habilitar o SAML no ONTAP, salve o XML de metadados do host fornecido. No host onde o Shibboleth está instalado, substitua o conteúdo de metadata/sp-metadata.xml com o XML de metadados do host dentro do diretório inicial do Shibboleth IdP.

Para mais informações, consulte "Shibboleth" .

Solucionar problemas com a configuração SAML

Se a configuração da autenticação SAML (Security Assertion Markup Language) falhar, você poderá reparar manualmente cada nó em que a configuração SAML falhou e recuperar da falha. Durante o processo de reparo, o servidor da Web é reiniciado e todas as conexões HTTP ou HTTPS ativas são interrompidas.

Sobre esta tarefa

Quando você configura a autenticação SAML, o ONTAP aplica a configuração SAML por nó. Quando você ativa a autenticação SAML, o ONTAP tenta reparar automaticamente cada nó se houver problemas de configuração. Se houver problemas com a configuração SAML em qualquer nó, você poderá desabilitar a autenticação SAML e rehabilitar a autenticação SAML. Pode haver situações em que a configuração SAML não se aplica em um ou mais nós, mesmo após a reativação da autenticação SAML. Você pode identificar o nó no qual a configuração SAML falhou e, em seguida, reparar manualmente esse nó.

Passos

  1. Inicie sessão no nível de privilégio avançado:

    set -privilege advanced

  2. Identificar o nó no qual a configuração SAML falhou:

    security saml-sp status show -instance

    Exemplo:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Saiba mais sobre security saml-sp status show o "Referência do comando ONTAP"na .

  3. Repare a configuração SAML no nó com falha:

    security saml-sp repair -node <node_name>

    Exemplo:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    O servidor web é reiniciado e quaisquer conexões HTTP ou HTTPS ativas são interrompidas.

    Saiba mais sobre security saml-sp repair o "Referência do comando ONTAP"na .

  4. Verifique se o SAML está configurado com êxito em todos os nós:

    security saml-sp status show -instance

    Exemplo:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    Saiba mais sobre security saml-sp status show o "Referência do comando ONTAP"na .

Informações relacionadas