Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定SAML驗證

貢獻者
PDF

從ONTAP 推出支援支援功能的支援功能9.3開始、您可以設定網路服務的安全聲明標記語言(SAML)驗證。設定並啟用SAML驗證時、使用者會由外部身分識別供應商(IDP)進行驗證、而非由Active Directory和LDAP等目錄服務供應商進行驗證。停用 SAML 驗證時,會使用設定的目錄服務供應商,例如 Active Directory 和 LDAP 進行驗證

啟用SAML驗證

若要使用 System Manager 或 CLI 啟用 SAML 驗證、請執行下列步驟。如果您的叢集執行的是 ONTAP 9.7 或更早版本、則您需要遵循的系統管理員步驟會有所不同。請參閱系統上的 System Manager 線上說明。

註 啟用 SAML 驗證之後、只有遠端使用者可以存取 System Manager GUI 。啟用SAML驗證後、本機使用者無法存取System Manager GUI。

使用 SAML 設定多因素驗證的工作流程

開始之前

  • 必須設定您打算用於遠端驗證的IDP。

    註

    請參閱您已設定之IDP所提供的文件。

  • 您必須擁有IDP的URI。

關於這項工作

  • SAML 驗證僅適用於 httpontapi 應用程式:

    httpontapi 應用程式由下列 Web 服務使用:服務處理器基礎架構、 ONTAP API 或系統管理員。

  • SAML驗證僅適用於存取管理SVM。

下列 IDP 已通過 System Manager 驗證:

  • Active Directory Federation Services

  • Cisco Duo (已通過下列 ONTAP 版本驗證:)

    • 9.7P21 及更新版本 9.7 版本(請參閱 "System Manager Classic 文件"

    • 9.8P17 及更新版本 9.8 版本

    • 9.9.1P13 及更新版本 9.9 版本

    • 9.10.1 第 9 版及更新版本 9.10 版本

    • 9.11.1P4 及更新版本 9.11 版本

    • 9.12.1 及更新版本

  • Shibboleth

視您的環境而定、請執行下列步驟:

範例 1. 步驟
系統管理員

  1. 按一下*叢集>設定*。

  2. 在 * SAML 驗證 * 旁邊、按一下 動作圖示

  3. 請確認「啟用SAML驗證」核取方塊已勾選。

  4. 輸入IDP URI的URL(包括 "https://")。

  5. 如有需要、請修改主機系統位址。

  6. 確保使用正確的憑證:

    • 如果您的系統只對應一個類型為「server」的憑證、則該憑證會被視為預設憑證、不會顯示出來。

    • 如果您的系統已對應多個憑證做為「server」類型、則會顯示其中一個憑證。 若要選取不同的憑證、請按一下*變更*。

  7. 按一下「 * 儲存 * 」。確認視窗會顯示已自動複製到剪貼簿的中繼資料資訊。

  8. 移至您指定的IDP系統、然後從剪貼簿複製中繼資料、以更新系統中繼資料。

  9. 返回確認視窗(在System Manager中)、然後勾選「I have configured the IDP with the host URI or medetid*(我已使用主機URI或中繼資料*設定IDP)」核取方塊。

  10. 按一下*登出*以啟用SAML型驗證。 IDP系統會顯示驗證畫面。

  11. 在IDP系統中、輸入您的SAML型認證資料。驗證認證之後、系統會將您導向至System Manager首頁。

CLI

  1. 建立SAML組態、ONTAP 以便讓整個程序能夠存取IDP中繼資料:

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    idp_uri 是 IDP 主機的 FTP 或 HTTP 位址、可從其中下載 IDP 中繼資料。

    ontap_host_name 是 SAML 服務供應商主機的主機名稱或 IP 位址、在此情況下為 ONTAP 系統。根據預設、會使用叢集管理LIF的IP位址。

    您可以選擇性地提供ONTAP 伺服器的驗證資訊。根據預設ONTAP 、會使用「驗證」Web伺服器憑證資訊。

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    畫面ONTAP 會顯示存取主機中繼資料的URL。

  2. 在IDP主機上、使用ONTAP 不受支援的中繼資料來設定IDP。

    如需設定IDP的詳細資訊、請參閱IDP文件。

  3. 啟用SAML組態:

    security saml-sp modify -is-enabled true

    存取的任何現有使用者 httpontapi 應用程式會自動設定以進行 SAML 驗證。

  4. 如果您想要為建立使用者 httpontapi 設定 SAML 之後的應用程式、請將 SAML 指定為新使用者的驗證方法。

    1. 使用 SAML 驗證為新使用者建立登入方法:

      註 此 `user_name`值區分大小寫。僅包含使用者名稱,且不包含網域的任何部分。

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      範例:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12

    2. 確認已建立使用者項目:

      security login show

      範例:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

停用SAML驗證

若要停止使用外部身分識別供應商(IDP)驗證Web使用者、您可以停用SAML驗證。停用SAML驗證時、會使用已設定的目錄服務供應商(例如Active Directory和LDAP)進行驗證。

視您的環境而定、請執行下列步驟:

範例 2. 步驟
系統管理員

  1. 按一下*叢集>設定*。

  2. 在「* SAML驗證*」下、按一下「已啟用」切換按鈕。

  3. Optional :您也可以按一下 動作圖示 * SAML 驗證 * 旁的、然後取消勾選 * 啟用 SAML 驗證 * 核取方塊。

CLI

  1. 停用SAML驗證:

    security saml-sp modify -is-enabled false

  2. 如果您不想再使用SAML驗證、或想要修改IDP、請刪除SAML組態:

    security saml-sp delete

疑難排解SAML組態問題

如果設定安全性聲明標記語言(SAML)驗證失敗、您可以手動修復SAML組態失敗的每個節點、並從故障中恢復。在修復程序期間、會重新啟動Web伺服器、並中斷任何作用中的HTTP連線或HTTPS連線。

關於這項工作

設定SAML驗證時ONTAP 、將會以每個節點為基礎來套用SAML組態。啟用SAML驗證時ONTAP 、如果發生組態問題、則會自動嘗試修復每個節點。如果任何節點上的SAML組態發生問題、您可以停用SAML驗證、然後重新啟用SAML驗證。在重新啟用SAML驗證後、SAML組態仍無法套用至一或多個節點的情況下、可能會發生。您可以識別SAML組態失敗的節點、然後手動修復該節點。

步驟

  1. 登入進階權限層級:

    set -privilege advanced

  2. 識別SAML組態失敗的節點:

    security saml-sp status show -instance

    範例:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

  3. 修復故障節點上的SAML組態:

    security saml-sp repair -node <node_name>

    範例:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Web伺服器會重新啟動、且任何作用中的HTTP連線或HTTPS連線都會中斷。

  4. 確認已在所有節點上成功設定SAML:

    security saml-sp status show -instance

    範例:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.
相關資訊