Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定SAML驗證

貢獻者

從ONTAP 推出支援支援功能的支援功能9.3開始、您可以設定網路服務的安全聲明標記語言(SAML)驗證。設定並啟用SAML驗證時、使用者會由外部身分識別供應商(IDP)進行驗證、而非由Active Directory和LDAP等目錄服務供應商進行驗證。停用 SAML 驗證時,會使用設定的目錄服務供應商,例如 Active Directory 和 LDAP 進行驗證

啟用SAML驗證

若要使用 System Manager 或 CLI 啟用 SAML 驗證、請執行下列步驟。如果您的叢集執行的是 ONTAP 9.7 或更早版本、則您需要遵循的系統管理員步驟會有所不同。請參閱系統上的 System Manager 線上說明。

註 啟用 SAML 驗證之後、只有遠端使用者可以存取 System Manager GUI 。啟用SAML驗證後、本機使用者無法存取System Manager GUI。

使用 SAML 設定多因素驗證的工作流程

開始之前
  • 必須設定您打算用於遠端驗證的IDP。

    註

    請參閱您已設定之IDP所提供的文件。

  • 您必須擁有IDP的URI。

關於這項工作
  • SAML 驗證僅適用於 httpontapi 應用程式:

    httpontapi 應用程式由下列 Web 服務使用:服務處理器基礎架構、 ONTAP API 或系統管理員。

  • SAML驗證僅適用於存取管理SVM。

下列 IDP 已通過 System Manager 驗證:

  • Active Directory Federation Services

  • Cisco Duo (已通過下列 ONTAP 版本驗證:)

    • 9.7P21 及更新版本 9.7 版本(請參閱 "System Manager Classic 文件"

    • 9.8P17 及更新版本 9.8 版本

    • 9.9.1P13 及更新版本 9.9 版本

    • 9.10.1 第 9 版及更新版本 9.10 版本

    • 9.11.1P4 及更新版本 9.11 版本

    • 9.12.1 及更新版本

  • Shibboleth

視您的環境而定、請執行下列步驟:

  1. 按一下*叢集>設定*。

  2. 在 * SAML 驗證 * 旁邊、按一下 動作圖示

  3. 請確認「啟用SAML驗證」核取方塊已勾選。

  4. 輸入IDP URI的URL(包括 "https://")。

  5. 如有需要、請修改主機系統位址。

  6. 確保使用正確的憑證:

    • 如果您的系統只對應一個類型為「server」的憑證、則該憑證會被視為預設憑證、不會顯示出來。

    • 如果您的系統已對應多個憑證做為「server」類型、則會顯示其中一個憑證。 若要選取不同的憑證、請按一下*變更*。

  7. 按一下「 * 儲存 * 」。確認視窗會顯示已自動複製到剪貼簿的中繼資料資訊。

  8. 移至您指定的IDP系統、然後從剪貼簿複製中繼資料、以更新系統中繼資料。

  9. 返回確認視窗(在System Manager中)、然後勾選「I have configured the IDP with the host URI or medetid*(我已使用主機URI或中繼資料*設定IDP)」核取方塊。

  10. 按一下*登出*以啟用SAML型驗證。 IDP系統會顯示驗證畫面。

  11. 在IDP系統中、輸入您的SAML型認證資料。驗證認證之後、系統會將您導向至System Manager首頁。

停用SAML驗證

若要停止使用外部身分識別供應商(IDP)驗證Web使用者、您可以停用SAML驗證。停用SAML驗證時、會使用已設定的目錄服務供應商(例如Active Directory和LDAP)進行驗證。

視您的環境而定、請執行下列步驟:

  1. 按一下*叢集>設定*。

  2. 在「* SAML驗證*」下、按一下「已啟用」切換按鈕。

  3. Optional :您也可以按一下 動作圖示 * SAML 驗證 * 旁的、然後取消勾選 * 啟用 SAML 驗證 * 核取方塊。

疑難排解SAML組態問題

如果設定安全性聲明標記語言(SAML)驗證失敗、您可以手動修復SAML組態失敗的每個節點、並從故障中恢復。在修復程序期間、會重新啟動Web伺服器、並中斷任何作用中的HTTP連線或HTTPS連線。

關於這項工作

設定SAML驗證時ONTAP 、將會以每個節點為基礎來套用SAML組態。啟用SAML驗證時ONTAP 、如果發生組態問題、則會自動嘗試修復每個節點。如果任何節點上的SAML組態發生問題、您可以停用SAML驗證、然後重新啟用SAML驗證。在重新啟用SAML驗證後、SAML組態仍無法套用至一或多個節點的情況下、可能會發生。您可以識別SAML組態失敗的節點、然後手動修復該節點。

步驟
  1. 登入進階權限層級:

    set -privilege advanced

  2. 識別SAML組態失敗的節點:

    security saml-sp status show -instance

    範例:

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: config-failed
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
  3. 修復故障節點上的SAML組態:

    security saml-sp repair -node <node_name>

    範例:

    cluster_12::*> security saml-sp repair -node node2
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 181] Job is running.
    [Job 181] Job success.

    Web伺服器會重新啟動、且任何作用中的HTTP連線或HTTPS連線都會中斷。

  4. 確認已在所有節點上成功設定SAML:

    security saml-sp status show -instance

    範例:

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.