Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 SAML 身份验证

贡献者

从 ONTAP 9.3 开始,您可以为 Web 服务配置安全断言标记语言( SAML )身份验证。配置并启用 SAML 身份验证后,用户将通过外部身份提供程序( Identity Provider , IdP )进行身份验证,而不是 Active Directory 和 LDAP 等目录服务提供程序进行身份验证。

启用 SAML 身份验证

要使用System Manager或命令行界面启用SAML身份验证、请执行以下步骤。如果集群运行的是ONTAP 9.7或更早版本、则需要遵循的System Manager步骤有所不同。请参阅系统上提供的System Manager联机帮助。

备注 启用SAML身份验证后、只有远程用户才能访问System Manager图形用户界面。启用 SAML 身份验证后,本地用户无法访问 System Manager 图形用户界面。

使用 SAML 设置多因素身份验证的任务工作流图

开始之前
  • 必须配置计划用于远程身份验证的 IdP 。

    备注

    请参见您配置的 IdP 提供的文档。

  • 您必须具有 IdP 的 URI 。

关于此任务
  • SAML身份验证仅适用于 httpontapi 应用程序。

    httpontapi 应用程序由以下Web服务使用:服务处理器基础架构、ONTAP API或System Manager。

  • SAML 身份验证仅适用于访问管理 SVM 。

以下IDP已通过System Manager的验证:

  • Active Directory联合身份验证服务

  • Cisco Duo (已通过以下ONTAP版本的验证:)

    • 9.7P21及更高版本9.7 (请参阅 "System Manager经典文档"

    • 9.8P17及更高版本9.8

    • 9.9.1P13及更高版本9.9

    • 9.10.1P9及更高版本9.10

    • 9.11.1P4及更高的9.11版本

    • 9.12.1及更高版本

  • Shibboleth

根据您的环境执行以下步骤:

示例 1. 步骤
System Manager
  1. 单击 * 集群 > 设置 * 。

  2. 单击 * SAML 身份验证 * 旁边的 齿轮图标

  3. 确保选中 * 启用 SAML 身份验证 * 复选框。

  4. 输入 IdP URI 的 URL (包括 "https://")。

  5. 根据需要修改主机系统地址。

  6. 确保使用的证书正确:

    • 如果您的系统只映射了一个类型为 "server" 的证书,则该证书将被视为默认证书,不会显示。

    • 如果您的系统使用多个证书映射为类型 "server" ,则会显示其中一个证书。 要选择其他证书,请单击 * 更改 * 。

  7. 单击 * 保存 * 。此时将显示一个确认窗口,其中包含已自动复制到剪贴板的元数据信息。

  8. 转到指定的 IdP 系统,然后从剪贴板复制元数据以更新系统元数据。

  9. 返回到确认窗口(在 System Manager 中)并选中复选框 * 我已使用主机 URI 或元数据配置 IdP * 。

  10. 单击 * 注销 * 以启用基于 SAML 的身份验证。 IdP 系统将显示身份验证屏幕。

  11. 在 IdP 系统中,输入基于 SAML 的凭据。验证凭据后,您将转到 System Manager 主页。

命令行界面
  1. 创建 SAML 配置,以便 ONTAP 可以访问 IdP 元数据:

    security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri 是可从中下载IdP元数据的IdP主机的FTP或HTTP地址。

    ontap_host_name 是SAML服务提供程序主机的主机名或IP地址、此处为ONTAP系统。默认情况下,使用集群管理 LIF 的 IP 地址。

    您可以选择提供 ONTAP 服务器证书信息。默认情况下,使用 ONTAP Web 服务器证书信息。

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 179] Job succeeded: Access the SAML SP metadata using the URL:
    https://10.0.0.1/saml-sp/Metadata
    
    Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    此时将显示用于访问 ONTAP 主机元数据的 URL 。

  2. 在 IdP 主机中,使用 ONTAP 主机元数据配置 IdP 。

    有关配置 IdP 的详细信息,请参见 IdP 文档。

  3. 启用 SAML 配置:

    security saml-sp modify -is-enabled true

    访问的任何现有用户 httpontapi 系统会自动为应用程序配置SAML身份验证。

  4. 如果要为创建用户 httpontapi 应用程序在配置SAML后、指定SAML作为新用户的身份验证方法。

    1. 使用SAML身份验证为新用户创建登录方法:

      security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12
    2. 验证是否已创建此用户条目:

      security login show

    cluster_12::> security login show
    
    Vserver: cluster_12
                                                                     Second
    User/Group                 Authentication                 Acct   Authentication
    Name           Application Method        Role Name        Locked Method
    -------------- ----------- ------------- ---------------- ------ --------------
    admin          console     password      admin            no     none
    admin          http        password      admin            no     none
    admin          http        saml          admin            -      none
    admin          ontapi      password      admin            no     none
    admin          ontapi      saml          admin            -      none
    admin          service-processor
                               password      admin            no     none
    admin          ssh         password      admin            no     none
    admin1         http        password      backup           no     none
    **admin1       http        saml          backup           -      none**

禁用 SAML 身份验证

如果要停止使用外部身份提供程序( IdP )对 Web 用户进行身份验证,则可以禁用 SAML 身份验证。禁用 SAML 身份验证后,将使用已配置的目录服务提供程序(例如 Active Directory 和 LDAP )进行身份验证。

根据您的环境执行以下步骤:

示例 2. 步骤
System Manager
  1. 单击 * 集群 > 设置 * 。

  2. 在 * SAML 身份验证 * 下,单击 * 已启用 * 切换按钮。

  3. 可 选:您也可以单击 齿轮图标 选中 * SAML 身份验证 * 旁边的 * 启用 SAML 身份验证 * 复选框。

命令行界面
  1. 禁用 SAML 身份验证

    security saml-sp modify -is-enabled false

  2. 如果您不想再使用 SAML 身份验证或要修改 IdP ,请删除 SAML 配置:

    security saml-sp delete

对 SAML 配置问题进行故障排除

如果配置安全断言标记语言( SAML )身份验证失败,您可以手动修复 SAML 配置失败的每个节点并从故障中恢复。在修复过程中, Web 服务器将重新启动,并且任何活动的 HTTP 连接或 HTTPS 连接将中断。

关于此任务

配置 SAML 身份验证时, ONTAP 会按节点应用 SAML 配置。启用 SAML 身份验证后,如果存在配置问题, ONTAP 会自动尝试修复每个节点。如果任何节点上的 SAML 配置出现问题,您可以禁用 SAML 身份验证,然后重新启用 SAML 身份验证。有时,即使重新启用 SAML 身份验证, SAML 配置也无法应用于一个或多个节点。您可以确定 SAML 配置失败的节点,然后手动修复该节点。

步骤
  1. 登录到高级权限级别:

    set -privilege advanced

  2. 确定 SAML 配置失败的节点:

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: config-failed
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
  3. 修复故障节点上的 SAML 配置:

    security saml-sp repair -node node_name

    cluster_12::*> security saml-sp repair -node node2
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 181] Job is running.
    [Job 181] Job success.

    Web 服务器将重新启动,并且任何活动的 HTTP 连接或 HTTPS 连接将中断。

  4. 验证是否已在所有节点上成功配置 SAML :

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: **config-success**
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
相关信息

"ONTAP 9命令"