配置SAML
要为访问管理配置身份验证、您可以使用存储阵列中嵌入的安全断言标记语言(SAML)功能。此配置将在身份提供程序和存储提供程序之间建立连接。
身份提供程序(IdP)是一种外部系统、用于向用户请求凭据并确定该用户是否已成功通过身份验证。可以将IdP配置为提供多因素身份验证并使用任何用户数据库、例如Active Directory。您的安全团队负责维护IdP。服务提供商(Service Provider、SP)是一个控制用户身份验证和访问的系统。使用SAML配置访问管理时、存储阵列充当服务提供商、向身份提供程序请求身份验证。要在IdP和存储阵列之间建立连接、您需要在这两个实体之间共享元数据文件。接下来、将IdP用户实体映射到存储阵列角色。最后、在启用SAML之前、您需要测试连接和SSO登录。
|
*正在编辑和禁用。*启用SAML后、您无法通过用户界面将其禁用、也无法编辑IdP设置。如果需要禁用或编辑SAML配置、请联系技术支持以获得帮助。 |
配置SAML身份验证是一个多步骤操作步骤。
第1步:上传IdP元数据文件
要为存储阵列提供IdP连接信息、请将IdP元数据导入到System Manager中。
-
您必须使用包含安全管理员权限的用户配置文件登录。否则、不会显示访问管理功能。
-
IdP管理员已配置IdP系统。
-
IdP管理员已确保IdP支持在身份验证时返回名称ID。
-
管理员已确保IdP服务器和控制器时钟保持同步(通过NTP服务器或通过调整控制器时钟设置)。
-
IdP元数据文件从IdP系统下载、并可从用于访问System Manager的本地系统上获得。
在此任务中、您将元数据文件从IdP上传到System Manager。IdP系统需要使用此元数据将身份验证请求重定向到正确的URL并验证收到的响应。您只需为存储阵列上传一个元数据文件、即使有两个控制器也是如此。
-
选择*菜单:设置[访问管理]*。
-
选择* SAML *选项卡。
此页面将显示配置步骤的概述。
-
单击*导入身份提供程序(IdP)文件*链接。
此时将打开*导入身份提供程序文件*对话框。
-
单击*浏览*以选择您复制到本地系统的IdP元数据文件并将其上传。
选择文件后、将显示IdP实体ID。
-
单击 * 导入 * 。
第2步:导出服务提供商文件
要在IdP和存储阵列之间建立信任关系、请将服务提供商元数据导入到IdP中。
-
您知道存储阵列中每个控制器的IP地址或域名。
在此任务中、您将从控制器导出元数据(每个控制器一个文件)。IdP需要使用此元数据与控制器建立信任关系并处理授权请求。此文件包含控制器域名或IP地址等信息、以便IdP可以与服务提供商进行通信。
-
单击*导出服务提供商文件*链接。
此时将打开*导出服务提供商文件*对话框。
-
在*控制器A*字段中输入控制器IP地址或DNS名称、然后单击*导出*将元数据文件保存到本地系统。如果存储阵列包含两个控制器、请对*控制器B*字段中的第二个控制器重复此步骤。
单击*导出*后、服务提供商元数据将下载到本地系统。记下文件的存储位置。
-
在本地系统中、找到您导出的服务提供商元数据文件。
每个控制器都有一个XML格式的文件。
-
从IdP服务器导入服务提供商元数据文件以建立信任关系。您可以直接导入文件、也可以手动输入文件中的控制器信息。
第3步:映射角色
要为用户提供对System Manager的授权和访问权限、您必须将IdP用户属性和组成员资格映射到存储阵列的预定义角色。
-
IdP管理员已在IdP系统中配置用户属性和组成员资格。
-
IdP元数据文件将导入到System Manager中。
-
每个控制器的服务提供商元数据文件都会导入到IdP系统中以建立信任关系。
在此任务中、您可以使用System Manager将IdP组映射到本地用户角色。
-
单击链接以映射System Manager角色。
此时将打开角色映射对话框。
-
为预定义角色分配IdP用户属性和组。一个组可以分配多个角色。
字段详细信息
正在设置 … Description 映射
用户属性
指定要映射的SAML组的属性(例如、"member for")。
属性值
指定要映射的组的属性值。
角色
包括管理员在内的所有用户都需要"监控"角色。如果没有"监控"角色、则System Manager将无法正常运行。
-
如果需要、请单击*添加另一个映射*以输入更多组到角色的映射。
启用SAML后、可以修改角色映射。
-
完成映射后、单击*保存*。
第4步:测试SSO登录
为了确保IdP系统和存储阵列可以进行通信、您可以选择测试SSO登录。在启用SAML的最后一步中、也会执行此测试。
-
IdP元数据文件将导入到System Manager中。
-
每个控制器的服务提供商元数据文件都会导入到IdP系统中以建立信任关系。
-
选择*测试SSO登录*链接。
此时将打开一个对话框、用于输入SSO凭据。
-
输入具有安全管理员权限和监控权限的用户的登录凭据。
在系统测试登录时、将打开一个对话框。
-
查找Test Successful消息。如果测试成功完成、请转至下一步以启用SAML。
如果测试未成功完成、则会显示一条错误消息、其中包含更多信息。请确保:
-
该用户属于具有安全管理员和监控权限的组。
-
您为IdP服务器上传的元数据正确无误。
-
SP元数据文件中的控制器地址正确。
-
第5步:启用SAML
最后一步是启用SAML用户身份验证。
-
IdP元数据文件将导入到System Manager中。
-
每个控制器的服务提供商元数据文件都会导入到IdP系统中以建立信任关系。
-
至少配置了一个监控器和一个安全管理员角色映射。
此任务介绍如何完成用户身份验证的SAML配置。在此过程中、系统还会提示您测试SSO登录。上一步介绍了SSO登录测试过程。
*正在编辑和禁用。*启用SAML后、您无法通过用户界面将其禁用、也无法编辑IdP设置。如果需要禁用或编辑SAML配置、请联系技术支持以获得帮助。 |
-
从* SAML *选项卡中、选择*启用SAML *链接。
此时将打开*确认启用SAML *对话框。
-
键入`enable`、然后单击*启用*。
-
输入用于SSO登录测试的用户凭据。
系统启用SAML后、它将终止所有活动会话并开始通过SAML对用户进行身份验证。