使用SAML进行访问管理
对于访问管理、管理员可以使用阵列中嵌入的安全断言标记语言(Security Assertion Markup Language、SAML) 2.0功能。
配置工作流
SAML配置的工作原理如下:
-
管理员使用具有安全管理员权限的用户配置文件登录到System Manager。
`admin`用户对System Manager中的所有功能具有完全访问权限。
-
管理员转到访问管理下的* SAML *选项卡。
-
管理员配置与身份提供程序(Identity Provider、IdP)的通信。IdP是一种外部系统、用于向用户请求凭据并确定用户是否已成功通过身份验证。要配置与存储阵列的通信、管理员将从IdP系统下载IdP元数据文件、然后使用System Manager将此文件上传到存储阵列。
-
管理员在服务提供商和IdP之间建立信任关系。服务提供商负责控制用户授权;在这种情况下、存储阵列中的控制器充当服务提供商。要配置通信、管理员可以使用System Manager导出每个控制器的服务提供商元数据文件。然后、管理员从IdP系统将这些元数据文件导入到IdP中。
管理员还应确保IdP支持在身份验证时返回名称ID。
-
管理员会将存储阵列的角色映射到IdP中定义的用户属性。为此、管理员可以使用System Manager创建映射。
-
管理员测试对IdP URL的SSO登录。此测试可确保存储阵列和IdP能够进行通信。
启用SAML后、您无法通过用户界面将其禁用、也无法编辑IdP设置。如果需要禁用或编辑SAML配置、请联系技术支持以获得帮助。
-
在System Manager中、管理员为存储阵列启用SAML。
-
用户使用其SSO凭据登录到系统。
管理
使用SAML进行身份验证时、管理员可以执行以下管理任务:
-
修改或创建新角色映射
-
导出服务提供商文件
访问限制
启用SAML后、用户将无法通过Unified Manager或原有Storage Manager界面发现或管理该阵列的存储。
此外、以下客户端无法访问存储阵列服务和资源:
-
企业管理窗口(EMW)
-
命令行界面(CLI)
-
软件开发人员套件(SDK)客户端
-
带内客户端
-
HTTP基本身份验证REST API客户端
-
使用标准REST API端点登录