版本資訊
設定SAML驗證
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
從ONTAP 推出支援支援功能的支援功能9.3開始、您可以設定網路服務的安全聲明標記語言(SAML)驗證。設定並啟用SAML驗證時、使用者會由外部身分識別供應商(IDP)進行驗證、而非由Active Directory和LDAP等目錄服務供應商進行驗證。
啟用SAML驗證
若要使用 System Manager 或 CLI 啟用 SAML 驗證、請執行下列步驟。如果您的叢集執行的是 ONTAP 9.7 或更早版本、則您需要遵循的系統管理員步驟會有所不同。請參閱系統上的 System Manager 線上說明。
|
啟用 SAML 驗證之後、只有遠端使用者可以存取 System Manager GUI 。啟用SAML驗證後、本機使用者無法存取System Manager GUI。 |
-
必須設定您打算用於遠端驗證的IDP。
請參閱您已設定之IDP所提供的文件。
-
您必須擁有IDP的URI。
-
SAML 驗證僅適用於
http和ontapi應用程式:。
http和ontapi應用程式由下列 Web 服務使用:服務處理器基礎架構、 ONTAP API 或系統管理員。 -
SAML驗證僅適用於存取管理SVM。
下列 IDP 已通過 System Manager 驗證:
-
Active Directory Federation Services
-
Cisco Duo (已通過下列 ONTAP 版本驗證:)
-
9.7P21 及更新版本 9.7 版本(請參閱 "System Manager Classic 文件")
-
9.8P17 及更新版本 9.8 版本
-
9.9.1P13 及更新版本 9.9 版本
-
9.10.1 第 9 版及更新版本 9.10 版本
-
9.11.1P4 及更新版本 9.11 版本
-
9.12.1 及更新版本
-
-
Shibboleth
視您的環境而定、請執行下列步驟:
-
按一下*叢集>設定*。
-
在「* SAML驗證*」旁、按一下
。 -
請確認「啟用SAML驗證」核取方塊已勾選。
-
輸入IDP URI的URL(包括 "https://")。
-
如有需要、請修改主機系統位址。
-
確保使用正確的憑證:
-
如果您的系統只對應一個類型為「server」的憑證、則該憑證會被視為預設憑證、不會顯示出來。
-
如果您的系統已對應多個憑證做為「server」類型、則會顯示其中一個憑證。 若要選取不同的憑證、請按一下*變更*。
-
-
按一下「 * 儲存 * 」。確認視窗會顯示已自動複製到剪貼簿的中繼資料資訊。
-
移至您指定的IDP系統、然後從剪貼簿複製中繼資料、以更新系統中繼資料。
-
返回確認視窗(在System Manager中)、然後勾選「I have configured the IDP with the host URI or medetid*(我已使用主機URI或中繼資料*設定IDP)」核取方塊。
-
按一下*登出*以啟用SAML型驗證。 IDP系統會顯示驗證畫面。
-
在IDP系統中、輸入您的SAML型認證資料。驗證認證之後、系統會將您導向至System Manager首頁。
-
建立SAML組態、ONTAP 以便讓整個程序能夠存取IDP中繼資料:
security saml-sp create -idp-uri idp_uri -sp-host ontap_host_nameidp_uri是 IDP 主機的 FTP 或 HTTP 位址、可從其中下載 IDP 中繼資料。ontap_host_name是 SAML 服務供應商主機的主機名稱或 IP 位址、在此情況下為 ONTAP 系統。根據預設、會使用叢集管理LIF的IP位址。您可以選擇性地提供ONTAP 伺服器的驗證資訊。根據預設ONTAP 、會使用「驗證」Web伺服器憑證資訊。
cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 179] Job succeeded: Access the SAML SP metadata using the URL: https://10.0.0.1/saml-sp/Metadata Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.畫面ONTAP 會顯示存取主機中繼資料的URL。
-
在IDP主機上、使用ONTAP 不受支援的中繼資料來設定IDP。
如需設定IDP的詳細資訊、請參閱IDP文件。
-
啟用SAML組態:
security saml-sp modify -is-enabled true存取的任何現有使用者
http或ontapi應用程式會自動設定以進行 SAML 驗證。 -
如果您想要為建立使用者
http或ontapi設定 SAML 之後的應用程式、請將 SAML 指定為新使用者的驗證方法。-
使用 SAML 驗證為新使用者建立登入方法:
security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_namecluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12
-
確認已建立使用者項目:
security login show
cluster_12::> security login show Vserver: cluster_12 Second User/Group Authentication Acct Authentication Name Application Method Role Name Locked Method -------------- ----------- ------------- ---------------- ------ -------------- admin console password admin no none admin http password admin no none admin http saml admin - none admin ontapi password admin no none admin ontapi saml admin - none admin service-processor password admin no none admin ssh password admin no none admin1 http password backup no none **admin1 http saml backup - none** -
停用SAML驗證
若要停止使用外部身分識別供應商(IDP)驗證Web使用者、您可以停用SAML驗證。停用SAML驗證時、會使用已設定的目錄服務供應商(例如Active Directory和LDAP)進行驗證。
視您的環境而定、請執行下列步驟:
-
按一下*叢集>設定*。
-
在「* SAML驗證*」下、按一下「已啟用」切換按鈕。
-
_ 選用 _ :您也可以按一下
在「* SAML驗證*」旁、然後取消核取「啟用SAML驗證」核取方塊。
-
停用SAML驗證:
security saml-sp modify -is-enabled false -
如果您不想再使用SAML驗證、或想要修改IDP、請刪除SAML組態:
security saml-sp delete
疑難排解SAML組態問題
如果設定安全性聲明標記語言(SAML)驗證失敗、您可以手動修復SAML組態失敗的每個節點、並從故障中恢復。在修復程序期間、會重新啟動Web伺服器、並中斷任何作用中的HTTP連線或HTTPS連線。
設定SAML驗證時ONTAP 、將會以每個節點為基礎來套用SAML組態。啟用SAML驗證時ONTAP 、如果發生組態問題、則會自動嘗試修復每個節點。如果任何節點上的SAML組態發生問題、您可以停用SAML驗證、然後重新啟用SAML驗證。在重新啟用SAML驗證後、SAML組態仍無法套用至一或多個節點的情況下、可能會發生。您可以識別SAML組態失敗的節點、然後手動修復該節點。
-
登入進階權限層級:
set -privilege advanced -
識別SAML組態失敗的節點:
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-failed Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file. SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed. -
修復故障節點上的SAML組態:
security saml-sp repair -node node_namecluster_12::*> security saml-sp repair -node node2 Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 181] Job is running. [Job 181] Job success.Web伺服器會重新啟動、且任何作用中的HTTP連線或HTTPS連線都會中斷。
-
確認已在所有節點上成功設定SAML:
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: **config-success** Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.