Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用SAML进行访问管理

贡献者

对于访问管理、管理员可以使用阵列中嵌入的安全断言标记语言(Security Assertion Markup Language、SAML) 2.0功能。

配置工作流

SAML配置的工作原理如下:

  1. 管理员使用具有安全管理员权限的用户配置文件登录到System Manager。

    备注
    `admin`用户对System Manager中的所有功能具有完全访问权限。
  2. 管理员转到访问管理下的* SAML *选项卡。

  3. 管理员配置与身份提供程序(Identity Provider、IdP)的通信。IdP是一种外部系统、用于向用户请求凭据并确定用户是否已成功通过身份验证。要配置与存储阵列的通信、管理员将从IdP系统下载IdP元数据文件、然后使用System Manager将此文件上传到存储阵列。

  4. 管理员在服务提供商和IdP之间建立信任关系。服务提供商负责控制用户授权;在这种情况下、存储阵列中的控制器充当服务提供商。要配置通信、管理员可以使用System Manager导出每个控制器的服务提供商元数据文件。然后、管理员从IdP系统将这些元数据文件导入到IdP中。

    备注

    管理员还应确保IdP支持在身份验证时返回名称ID。

  5. 管理员会将存储阵列的角色映射到IdP中定义的用户属性。为此、管理员可以使用System Manager创建映射。

  6. 管理员测试对IdP URL的SSO登录。此测试可确保存储阵列和IdP能够进行通信。

    注意

    启用SAML后、您无法通过用户界面将其禁用、也无法编辑IdP设置。如果需要禁用或编辑SAML配置、请联系技术支持以获得帮助。

  7. 在System Manager中、管理员为存储阵列启用SAML。

  8. 用户使用其SSO凭据登录到系统。

管理

使用SAML进行身份验证时、管理员可以执行以下管理任务:

  • 修改或创建新角色映射

  • 导出服务提供商文件

访问限制

启用SAML后、用户将无法通过Unified Manager或原有Storage Manager界面发现或管理该阵列的存储。

此外、以下客户端无法访问存储阵列服务和资源:

  • 企业管理窗口(EMW)

  • 命令行界面(CLI)

  • 软件开发人员套件(SDK)客户端

  • 带内客户端

  • HTTP基本身份验证REST API客户端

  • 使用标准REST API端点登录