简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

设置多因素身份验证

提供者 amgrissino netapp-mwallis

您可以通过 Element API 使用这些基本步骤来设置集群以使用多因素身份验证。

有关每个 API 方法的详细信息,请参见 "Element API 参考"

  1. 通过调用以下 API 方法并以 JSON 格式传递 IdP 元数据,为集群创建新的第三方身份提供程序( IdP )配置: CreateIdpConfiguration

    从第三方 IdP 检索纯文本格式的 IdP 元数据。需要验证此元数据,以确保其在 JSON 中格式正确。您可以使用多种 JSON 格式化程序应用程序,例如: https://freeformatter.com/json-escape.html

  2. 通过 spMetadataUrl 检索集群元数据,通过调用以下 API 方法复制到第三方 IdP : ListIdpConfigurations

    spMetadataUrl 是一个 URL ,用于从集群中为 IdP 检索服务提供商元数据,以便建立信任关系。

  3. 在第三方 IdP 上配置 SAML 断言,使其包含 "`NameID` " 属性,以便为审核日志记录和单点注销正确识别用户。

  4. 通过调用以下 API 方法创建一个或多个经过第三方 IdP 身份验证的集群管理员用户帐户以进行授权:AddIdpClusterAdmin

    注 IdP 集群管理员的用户名应与 SAML 属性名称 / 值映射匹配以获得所需效果,如以下示例所示:
    • email=bob@company.com —其中 IdP 配置为释放 SAML 属性中的电子邮件地址。

    • group=cluster-administrator —其中 IdP 配置为释放所有用户都应具有访问权限的组属性。请注意,出于安全考虑, SAML 属性名称 / 值配对区分大小写。

  5. 通过调用以下 API 方法为集群启用 MFA : EnableIdpAuthentication