Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定SAML驗證

貢獻者

從ONTAP 推出支援支援功能的支援功能9.3開始、您可以設定網路服務的安全聲明標記語言(SAML)驗證。設定並啟用SAML驗證時、使用者會由外部身分識別供應商(IDP)進行驗證、而非由Active Directory和LDAP等目錄服務供應商進行驗證。

啟用SAML驗證

若要使用 System Manager 或 CLI 啟用 SAML 驗證、請執行下列步驟。如果您的叢集執行的是 ONTAP 9.7 或更早版本、則您需要遵循的系統管理員步驟會有所不同。請參閱系統上的 System Manager 線上說明。

註 啟用 SAML 驗證之後、只有遠端使用者可以存取 System Manager GUI 。啟用SAML驗證後、本機使用者無法存取System Manager GUI。

使用 SAML 設定多因素驗證的工作流程

開始之前
  • 必須設定您打算用於遠端驗證的IDP。

    註

    請參閱您已設定之IDP所提供的文件。

  • 您必須擁有IDP的URI。

關於這項工作
  • SAML 驗證僅適用於 httpontapi 應用程式:

    httpontapi 應用程式由下列 Web 服務使用:服務處理器基礎架構、 ONTAP API 或系統管理員。

  • SAML驗證僅適用於存取管理SVM。

下列 IDP 已通過 System Manager 驗證:

  • Active Directory Federation Services

  • Cisco Duo (已通過下列 ONTAP 版本驗證:)

    • 9.7P21 及更新版本 9.7 版本(請參閱 "System Manager Classic 文件"

    • 9.8P17 及更新版本 9.8 版本

    • 9.9.1P13 及更新版本 9.9 版本

    • 9.10.1 第 9 版及更新版本 9.10 版本

    • 9.11.1P4 及更新版本 9.11 版本

    • 9.12.1 及更新版本

  • Shibboleth

視您的環境而定、請執行下列步驟:

範例 1. 步驟
系統管理員
  1. 按一下*叢集>設定*。

  2. 在 * SAML 驗證 * 旁邊、按一下 動作圖示

  3. 請確認「啟用SAML驗證」核取方塊已勾選。

  4. 輸入IDP URI的URL(包括 "https://")。

  5. 如有需要、請修改主機系統位址。

  6. 確保使用正確的憑證:

    • 如果您的系統只對應一個類型為「server」的憑證、則該憑證會被視為預設憑證、不會顯示出來。

    • 如果您的系統已對應多個憑證做為「server」類型、則會顯示其中一個憑證。 若要選取不同的憑證、請按一下*變更*。

  7. 按一下「 * 儲存 * 」。確認視窗會顯示已自動複製到剪貼簿的中繼資料資訊。

  8. 移至您指定的IDP系統、然後從剪貼簿複製中繼資料、以更新系統中繼資料。

  9. 返回確認視窗(在System Manager中)、然後勾選「I have configured the IDP with the host URI or medetid*(我已使用主機URI或中繼資料*設定IDP)」核取方塊。

  10. 按一下*登出*以啟用SAML型驗證。 IDP系統會顯示驗證畫面。

  11. 在IDP系統中、輸入您的SAML型認證資料。驗證認證之後、系統會將您導向至System Manager首頁。

CLI
  1. 建立SAML組態、ONTAP 以便讓整個程序能夠存取IDP中繼資料:

    security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri 是 IDP 主機的 FTP 或 HTTP 位址、可從其中下載 IDP 中繼資料。

    ontap_host_name 是 SAML 服務供應商主機的主機名稱或 IP 位址、在此情況下為 ONTAP 系統。根據預設、會使用叢集管理LIF的IP位址。

    您可以選擇性地提供ONTAP 伺服器的驗證資訊。根據預設ONTAP 、會使用「驗證」Web伺服器憑證資訊。

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 179] Job succeeded: Access the SAML SP metadata using the URL:
    https://10.0.0.1/saml-sp/Metadata
    
    Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    畫面ONTAP 會顯示存取主機中繼資料的URL。

  2. 在IDP主機上、使用ONTAP 不受支援的中繼資料來設定IDP。

    如需設定IDP的詳細資訊、請參閱IDP文件。

  3. 啟用SAML組態:

    security saml-sp modify -is-enabled true

    存取的任何現有使用者 httpontapi 應用程式會自動設定以進行 SAML 驗證。

  4. 如果您想要為建立使用者 httpontapi 設定 SAML 之後的應用程式、請將 SAML 指定為新使用者的驗證方法。

    1. 使用 SAML 驗證為新使用者建立登入方法:

      security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12
    2. 確認已建立使用者項目:

      security login show

    cluster_12::> security login show
    
    Vserver: cluster_12
                                                                     Second
    User/Group                 Authentication                 Acct   Authentication
    Name           Application Method        Role Name        Locked Method
    -------------- ----------- ------------- ---------------- ------ --------------
    admin          console     password      admin            no     none
    admin          http        password      admin            no     none
    admin          http        saml          admin            -      none
    admin          ontapi      password      admin            no     none
    admin          ontapi      saml          admin            -      none
    admin          service-processor
                               password      admin            no     none
    admin          ssh         password      admin            no     none
    admin1         http        password      backup           no     none
    **admin1       http        saml          backup           -      none**

停用SAML驗證

若要停止使用外部身分識別供應商(IDP)驗證Web使用者、您可以停用SAML驗證。停用SAML驗證時、會使用已設定的目錄服務供應商(例如Active Directory和LDAP)進行驗證。

視您的環境而定、請執行下列步驟:

範例 2. 步驟
系統管理員
  1. 按一下*叢集>設定*。

  2. 在「* SAML驗證*」下、按一下「已啟用」切換按鈕。

  3. Optional :您也可以按一下 動作圖示 * SAML 驗證 * 旁的、然後取消勾選 * 啟用 SAML 驗證 * 核取方塊。

CLI
  1. 停用SAML驗證:

    security saml-sp modify -is-enabled false

  2. 如果您不想再使用SAML驗證、或想要修改IDP、請刪除SAML組態:

    security saml-sp delete

疑難排解SAML組態問題

如果設定安全性聲明標記語言(SAML)驗證失敗、您可以手動修復SAML組態失敗的每個節點、並從故障中恢復。在修復程序期間、會重新啟動Web伺服器、並中斷任何作用中的HTTP連線或HTTPS連線。

關於這項工作

設定SAML驗證時ONTAP 、將會以每個節點為基礎來套用SAML組態。啟用SAML驗證時ONTAP 、如果發生組態問題、則會自動嘗試修復每個節點。如果任何節點上的SAML組態發生問題、您可以停用SAML驗證、然後重新啟用SAML驗證。在重新啟用SAML驗證後、SAML組態仍無法套用至一或多個節點的情況下、可能會發生。您可以識別SAML組態失敗的節點、然後手動修復該節點。

步驟
  1. 登入進階權限層級:

    set -privilege advanced

  2. 識別SAML組態失敗的節點:

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: config-failed
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
  3. 修復故障節點上的SAML組態:

    security saml-sp repair -node node_name

    cluster_12::*> security saml-sp repair -node node2
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 181] Job is running.
    [Job 181] Job success.

    Web伺服器會重新啟動、且任何作用中的HTTP連線或HTTPS連線都會中斷。

  4. 確認已在所有節點上成功設定SAML:

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: **config-success**
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.