简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 SAML 身份验证

提供者 netapp-thomi

从 ONTAP 9.3 开始,您可以为 Web 服务配置安全断言标记语言( SAML )身份验证。配置并启用 SAML 身份验证后,用户将通过外部身份提供程序( Identity Provider , IdP )进行身份验证,而不是 Active Directory 和 LDAP 等目录服务提供程序进行身份验证。

您需要什么? #8217 ;将需要什么
  • 您必须已为 SAML 身份验证配置 IdP 。

  • 您必须具有 IdP URI 。

关于此任务
  • SAML 身份验证仅适用于 httpontapi 应用程序。

    以下 Web 服务使用 httpontapi 应用程序:服务处理器基础架构, ONTAP API 或 System Manager 。

  • SAML 身份验证仅适用于访问管理 SVM 。

步骤
  1. 创建 SAML 配置,以便 ONTAP 可以访问 IdP 元数据:

    ` * security SAML -sp create -idP-uri idp_uri _ -sp-host _ontap_host_name*`

    IdP_uri 是可从中下载 IdP 元数据的 IdP 主机的 FTP 或 HTTP 地址。

    ontap_host_name 是 SAML 服务提供程序主机的主机名或 IP 地址,在本例中为 ONTAP 系统。默认情况下,使用集群管理 LIF 的 IP 地址。

    您可以选择提供 ONTAP 服务器证书信息。默认情况下,使用 ONTAP Web 服务器证书信息。

    cluster_12::> security saml-sp create -idp-uri https://scspr0235321001.gdl.englab.netapp.com/idp/shibboleth -verify-metadata-server false
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 179] Job succeeded: Access the SAML SP metadata using the URL:
    https://10.63.56.150/saml-sp/Metadata
    
    Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    此时将显示用于访问 ONTAP 主机元数据的 URL 。

  2. 在 IdP 主机中,使用 ONTAP 主机元数据配置 IdP 。

    有关配置 IdP 的详细信息,请参见 IdP 文档。

  3. 启用 SAML 配置:

    ` * security SAML -sp modify -is-enabled true*`

    系统会自动为访问 httpontapi 应用程序的任何现有用户配置 SAML 身份验证。

  4. 如果要在配置 SAML 后为 httpontapi 应用程序创建用户,请指定 SAML 作为新用户的身份验证方法。

    1. 使用 SAML 身份验证为新用户创建登录方法: + ` * security login create -user-or-group-name user_name -application [http : ontapi] -authentication-method SAML -vserver svm_name*`

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12
    2. 验证是否已创建此用户条目:

      ` * 安全登录显示 *`

    cluster_12::> security login show
    
    Vserver: cluster_12
                                                                     Second
    User/Group                 Authentication                 Acct   Authentication
    Name           Application Method        Role Name        Locked Method
    -------------- ----------- ------------- ---------------- ------ --------------
    admin          console     password      admin            no     none
    admin          http        password      admin            no     none
    admin          http        saml          admin            -      none
    admin          ontapi      password      admin            no     none
    admin          ontapi      saml          admin            -      none
    admin          service-processor
                               password      admin            no     none
    admin          ssh         password      admin            no     none
    admin1         http        password      backup           no     none
    **admin1         http        saml          backup           -      none**