設定SAML
若要設定存取管理的驗證、您可以使用儲存陣列內嵌的安全聲明標記語言(SAML)功能。此組態會在身分識別供應商與儲存供應商之間建立連線。
身分識別提供者(IDP)是外部系統、用於向使用者要求認證、以及判斷該使用者是否已成功驗證。IDP可設定為提供多因素驗證、並使用任何使用者資料庫、例如Active Directory。您的安全團隊負責維護IDP。服務供應商(SP)是控制使用者驗證與存取的系統。使用SAML設定存取管理時、儲存陣列會做為服務供應商、以要求身分識別供應商進行驗證。若要在IDP與儲存陣列之間建立連線、您可以在這兩個實體之間共用中繼資料檔案。接下來、您要將IDP使用者實體對應至儲存陣列角色。最後、您要先測試連線和SSO登入、再啟用SAML。
|
*編輯和停用。*一旦啟用SAML、您就無法透過使用者介面停用SAML、也無法編輯IDP設定。如果您需要停用或編輯SAML組態、請聯絡技術支援部門以取得協助。 |
設定SAML驗證是一個多步驟程序:
步驟1:上傳IDP中繼資料檔案
若要為儲存陣列提供IDP連線資訊、請將IDP中繼資料匯入System Manager。
-
您必須以包含安全管理員權限的使用者設定檔登入。否則、就不會顯示存取管理功能。
-
IDP管理員已設定IDP系統。
-
IDP管理員已確保IDP支援在驗證時傳回名稱ID的功能。
-
系統管理員已確保IDP伺服器與控制器時鐘同步(透過NTP伺服器或調整控制器時鐘設定)。
-
IDP中繼資料檔案是從IDP系統下載、可在本機系統上使用、以存取System Manager。
在此工作中、您會將IDP中的中繼資料檔案上傳至System Manager。IDP系統需要此中繼資料、才能將驗證要求重新導向至正確的URL、並驗證收到的回應。即使有兩個控制器、您也只需要上傳一個儲存陣列的中繼資料檔案。
-
選取功能表:設定[Access Management(存取管理)]。
-
選取* SAML *索引標籤。
頁面會顯示組態步驟的總覽。
-
按一下*匯入身分識別提供者(IDP)檔案*連結。
「匯入身分識別提供者檔案」對話方塊隨即開啟。
-
按一下*瀏覽*以選取並上傳您複製到本機系統的IDP中繼資料檔案。
選取檔案後、將會顯示IDP實體ID。
-
按一下*匯入*。
步驟2:匯出服務供應商檔案
若要在IDP與儲存陣列之間建立信任關係、請將服務供應商中繼資料匯入IDP。
-
您知道儲存陣列中每個控制器的IP位址或網域名稱。
在此工作中、您會從控制器匯出中繼資料(每個控制器一個檔案)。IDP需要此中繼資料、才能與控制器建立信任關係、並處理授權要求。檔案包含控制器網域名稱或IP位址等資訊、以便IDP與服務供應商通訊。
-
按一下「匯出服務供應商檔案」連結。
「匯出服務供應商檔案」對話方塊隨即開啟。
-
在*控制器A*欄位中輸入控制器IP位址或DNS名稱、然後按一下*匯出*將中繼資料檔案儲存至本機系統。如果儲存陣列包含兩個控制器、請針對「控制器B」欄位中的第二個控制器重複此步驟。
按一下「匯出」後、服務供應商中繼資料便會下載到您的本機系統。記下檔案的儲存位置。
-
從本機系統中、找出您匯出的服務供應商中繼資料檔案。
每個控制器都有一個XML格式的檔案。
-
從IDP伺服器匯入服務供應商中繼資料檔案、以建立信任關係。您可以直接匯入檔案、也可以從檔案手動輸入控制器資訊。
步驟3:對應角色
若要為使用者提供系統管理員的授權與存取權限、您必須將IDP使用者屬性和群組成員資格對應至儲存陣列的預先定義角色。
-
IDP管理員已在IDP系統中設定使用者屬性和群組成員資格。
-
IDP中繼資料檔案會匯入System Manager。
-
每個控制器的服務供應商中繼資料檔案會匯入IDP系統、以建立信任關係。
在此工作中、您可以使用System Manager將IDP群組對應至本機使用者角色。
-
按一下對應System Manager角色的連結。
此時會開啟「角色對應」對話方塊。
-
將IDP使用者屬性和群組指派給預先定義的角色。一個群組可以有多個指派的角色。
欄位詳細資料
設定 說明 對應
使用者屬性
指定要對應之SAML群組的屬性(例如「memberof」)。
屬性值
指定要對應群組的屬性值。
角色
所有使用者(包括系統管理員)都必須具備「監控」角色。沒有監控角色的任何使用者、System Manager將無法正常運作。
-
如有需要、請按一下*新增其他對應*、以輸入更多群組對角色對應。
啟用SAML之後、即可修改角色對應。
-
完成對應後、請按一下*「Save(儲存)」*。
步驟4:測試SSO登入
為了確保IDP系統和儲存陣列能夠通訊、您可以選擇性地測試SSO登入。此測試也會在啟用SAML的最後步驟中執行。
-
IDP中繼資料檔案會匯入System Manager。
-
每個控制器的服務供應商中繼資料檔案會匯入IDP系統、以建立信任關係。
-
選取「測試SSO登入」連結。
隨即開啟對話方塊、供您輸入SSO認證。
-
輸入具有「安全性管理」權限和「監控」權限的使用者登入認證。
系統會在測試登入時開啟對話方塊。
-
尋找「Test Successful(測試成功)」訊息。如果測試成功完成、請前往下一個步驟啟用SAML。
如果測試未成功完成、則會出現錯誤訊息、並提供進一步資訊。請確定:
-
使用者屬於具有「安全性管理」和「監控」權限的群組。
-
您為IDP伺服器上傳的中繼資料正確無誤。
-
SP中繼資料檔案中的控制器位址正確。
-
步驟5:啟用SAML
最後一步是啟用SAML使用者驗證。
-
IDP中繼資料檔案會匯入System Manager。
-
每個控制器的服務供應商中繼資料檔案會匯入IDP系統、以建立信任關係。
-
至少設定一個「監控」和一個「安全管理員」角色對應。
本工作說明如何完成SAML使用者驗證組態。在此過程中、系統也會提示您測試SSO登入。上一步說明SSO登入測試程序。
*編輯和停用。*一旦啟用SAML、您就無法透過使用者介面停用SAML、也無法編輯IDP設定。如果您需要停用或編輯SAML組態、請聯絡技術支援部門以取得協助。 |
-
從「* SAML *」標籤中、選取「*啟用SAML *」連結。
「*確認啟用SAML」對話方塊隨即開啟。
-
輸入「enable」、然後按一下「* Enable (啟用)」。
-
輸入SSO登入測試的使用者認證資料。
系統啟用SAML之後、會終止所有作用中工作階段、並開始透過SAML驗證使用者。