跳到主要内容

配置 SAML 认证

从 ONTAP 9.3 开始,可以对 Web 服务使用安全断言标记语言(SAML)认证。如果配置并启用了 SAML 认证,将通过外部身份提供程序(IdP),而不是 Active Directory 和 LDAP 之类目录服务提供程序对用户进行认证。

开始之前

  • 必须已针对 SAML 认证配置了 IdP。

  • 必须具有 IdP URI。

关于本任务

  • SAML 认证仅适用于

    httpontapi 应用程序。

    以下 Web 服务使用 Httpontapi 应用程序:服务处理器基础结构、ONTAP API 或 ThinkSystem DM 系列存储管理软件

  • SAML 认证仅适用于访问管理

    SVM 的 Ipspace 相关联的广播域中的所有端口。
  1. 创建 SAML 配置,以便 ONTAP 可访问 IdP 元数据: security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri 是可从中下载 IdP 元数据的 IdP 主机的 FTP 或 HTTP 地址。

    ontap_host_name 是 SAML 服务提供商主机(本示例中为 ONTAP 系统)的主机名或 IP 地址。缺省情况下,使用集群管理 LIF 的 IP 地址。

    可以选择提供 ONTAP 服务器证书信息。缺省情况下,使用 ONTAP Web 服务器证书信息。

    示例

    cluster_12::> security saml-sp create -idp-uri   https://
    scspr0235321001.gdl.englab.Lenovo.com/idp/shibboleth   -verify-metadata
    -server false
       
    Warning: This restarts the web   server. Any HTTP/S connections that 
    are active          
             will be disrupted. 
    Do you want to continue? {y|n}: y 
    [Job 179] Job   succeeded: Access the SAML SP metadata using the 
    URL:               
    https://10.63.56.150/saml-sp/Metadata  

    Configure the IdP and  Data  ONTAP users for the same directory server 
    domain to ensure  that  users are the same for different authentication 
    methods.  See the  "security login show" command for the Data ONTAP 
    user configuration.

    将显示用于访问 ONTAP 主机元数据的 URL。
  2. 使用 ONTAP 主机元数据从 IdP 主机配置 IdP。

    关于配置 IdP 的更多信息,请参阅 IdP 文档。

  3. 启用 SAML 配置: security saml-sp modify -is-enabled true

    将针对 SAML 认证自动对访问 httpontapi 应用程序的所有现有用户进行配置。

  4. 如果要在配置 SAML 后为 httpontapi 应用程序创建用户,请将新用户的认证方法指定为 SAML。
    1. 为新用户创建采用 SAML 认证的登录方法: security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      示例

      cluster_12::> security login create -user-or-group-name admin1 
      -application http -authentication-method saml -vserver  cluster_12
    2. 确认已创建用户条目: security login show

      示例

              
      cluster_12::> security login show

      Vserver: cluster_12
                                                                       Second
      User/Group                 Authentication                 Acct   Authentication
      Name           Application Method        Role Name        Locked Method
      -------------- ----------- ------------- ---------------- ------ --------------
      admin          console     password      admin            no     none
      admin          http        password      admin            no     none
      admin          http        saml          admin            -      none
      admin          ontapi      password      admin            no     none
      admin          ontapi      saml          admin            -      none
      admin          service-processor
                                 password      admin            no     none
      admin          ssh         password      admin            no     none
      admin1         http        password      backup           no     none
      <strong className="ph b">admin1        http        saml          backup           -      none
      </strong>
相关信息