配置 SAML 身份验证
建议更改
PDF
从 ONTAP 9.3 开始,您可以为 Web 服务配置安全断言标记语言( SAML )身份验证。配置并启用 SAML 身份验证后,用户将通过外部身份提供程序( Identity Provider , IdP )进行身份验证,而不是 Active Directory 和 LDAP 等目录服务提供程序进行身份验证。
启用 SAML 身份验证
要使用System Manager或命令行界面启用SAML身份验证、请执行以下步骤。如果集群运行的是ONTAP 9.7或更早版本、则需要遵循的System Manager步骤有所不同。请参阅系统上提供的System Manager联机帮助。
|
启用SAML身份验证后、只有远程用户才能访问System Manager图形用户界面。启用 SAML 身份验证后,本地用户无法访问 System Manager 图形用户界面。 |
-
必须配置计划用于远程身份验证的 IdP 。
请参见您配置的 IdP 提供的文档。
-
您必须具有 IdP 的 URI 。
-
SAML身份验证仅适用于
http和ontapi应用程序。。
http和ontapi应用程序由以下Web服务使用:服务处理器基础架构、ONTAP API或System Manager。 -
SAML 身份验证仅适用于访问管理 SVM 。
以下IDP已通过System Manager的验证:
-
Active Directory联合身份验证服务
-
Cisco Duo (已通过以下ONTAP版本的验证:)
-
9.7P21及更高版本9.7 (请参阅 "System Manager经典文档")
-
9.8P17及更高版本9.8
-
9.9.1P13及更高版本9.9
-
9.10.1P9及更高版本9.10
-
9.11.1P4及更高的9.11版本
-
9.12.1及更高版本
-
-
Shibboleth
根据您的环境执行以下步骤:
-
单击 * 集群 > 设置 * 。
-
在*SAML身份验证*旁边,单击
。 -
确保选中 * 启用 SAML 身份验证 * 复选框。
-
输入 IdP URI 的 URL (包括 "https://")。
-
根据需要修改主机系统地址。
-
确保使用的证书正确:
-
如果您的系统只映射了一个类型为 "server" 的证书,则该证书将被视为默认证书,不会显示。
-
如果您的系统使用多个证书映射为类型 "server" ,则会显示其中一个证书。 要选择其他证书,请单击 * 更改 * 。
-
-
单击 * 保存 * 。此时将显示一个确认窗口,其中包含已自动复制到剪贴板的元数据信息。
-
转到指定的 IdP 系统,然后从剪贴板复制元数据以更新系统元数据。
-
返回到确认窗口(在 System Manager 中)并选中复选框 * 我已使用主机 URI 或元数据配置 IdP * 。
-
单击 * 注销 * 以启用基于 SAML 的身份验证。 IdP 系统将显示身份验证屏幕。
-
在 IdP 系统中,输入基于 SAML 的凭据。验证凭据后,您将转到 System Manager 主页。
-
创建 SAML 配置,以便 ONTAP 可以访问 IdP 元数据:
security saml-sp create -idp-uri idp_uri -sp-host ontap_host_nameidp_uri是可从中下载IdP元数据的IdP主机的FTP或HTTP地址。ontap_host_name是SAML服务提供程序主机的主机名或IP地址、此处为ONTAP系统。默认情况下,使用集群管理 LIF 的 IP 地址。您可以选择提供 ONTAP 服务器证书信息。默认情况下,使用 ONTAP Web 服务器证书信息。
cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 179] Job succeeded: Access the SAML SP metadata using the URL: https://10.0.0.1/saml-sp/Metadata Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.此时将显示用于访问 ONTAP 主机元数据的 URL 。
-
在 IdP 主机中,使用 ONTAP 主机元数据配置 IdP 。
有关配置 IdP 的详细信息,请参见 IdP 文档。
-
启用 SAML 配置:
security saml-sp modify -is-enabled true访问的任何现有用户
http或ontapi系统会自动为应用程序配置SAML身份验证。 -
如果要为创建用户
http或ontapi应用程序在配置SAML后、指定SAML作为新用户的身份验证方法。-
使用SAML身份验证为新用户创建登录方法:
security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_namecluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12
-
验证是否已创建此用户条目:
security login show
cluster_12::> security login show Vserver: cluster_12 Second User/Group Authentication Acct Authentication Name Application Method Role Name Locked Method -------------- ----------- ------------- ---------------- ------ -------------- admin console password admin no none admin http password admin no none admin http saml admin - none admin ontapi password admin no none admin ontapi saml admin - none admin service-processor password admin no none admin ssh password admin no none admin1 http password backup no none **admin1 http saml backup - none** -
禁用 SAML 身份验证
如果要停止使用外部身份提供程序( IdP )对 Web 用户进行身份验证,则可以禁用 SAML 身份验证。禁用 SAML 身份验证后,将使用已配置的目录服务提供程序(例如 Active Directory 和 LDAP )进行身份验证。
根据您的环境执行以下步骤:
-
单击 * 集群 > 设置 * 。
-
在 * SAML 身份验证 * 下,单击 * 已启用 * 切换按钮。
-
可 选:也可以单击
*SAML身份验证*旁边的,然后取消选中*Enable SAML Authentication *复选框。
-
禁用 SAML 身份验证
security saml-sp modify -is-enabled false -
如果您不想再使用 SAML 身份验证或要修改 IdP ,请删除 SAML 配置:
security saml-sp delete
对 SAML 配置问题进行故障排除
如果配置安全断言标记语言( SAML )身份验证失败,您可以手动修复 SAML 配置失败的每个节点并从故障中恢复。在修复过程中, Web 服务器将重新启动,并且任何活动的 HTTP 连接或 HTTPS 连接将中断。
配置 SAML 身份验证时, ONTAP 会按节点应用 SAML 配置。启用 SAML 身份验证后,如果存在配置问题, ONTAP 会自动尝试修复每个节点。如果任何节点上的 SAML 配置出现问题,您可以禁用 SAML 身份验证,然后重新启用 SAML 身份验证。有时,即使重新启用 SAML 身份验证, SAML 配置也无法应用于一个或多个节点。您可以确定 SAML 配置失败的节点,然后手动修复该节点。
-
登录到高级权限级别:
set -privilege advanced -
确定 SAML 配置失败的节点:
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-failed Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file. SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed. -
修复故障节点上的 SAML 配置:
security saml-sp repair -node node_namecluster_12::*> security saml-sp repair -node node2 Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 181] Job is running. [Job 181] Job success.Web 服务器将重新启动,并且任何活动的 HTTP 连接或 HTTPS 连接将中断。
-
验证是否已在所有节点上成功配置 SAML :
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: **config-success** Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.