跳到主要内容

配置 SAML 认证

从 ONTAP 9.4 开始,可以对 Web 服务使用安全断言标记语言(SAML)认证。如果配置并启用了 SAML 认证,将通过外部身份提供商(IdP),而不是 Active Directory 和 LDAP 之类目录服务提供程序对用户进行认证。

开始之前

  • 必须已针对 SAML 认证配置了 IdP。

  • 必须具有 IdP URI。

关于本任务

  • SAML 认证仅适用于 httpontapi 应用程序。

    httpontapi 应用程序供以下 Web 服务使用:服务处理器基础结构、ONTAP API 或 ThinkSystem DM 系列存储管理软件

  • SAML 认证仅适用于访问管理 SVM

  1. 创建 SAML 配置,以便 ONTAP 可访问 IdP 元数据:security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri 是 IdP 主机的 FTP 或 HTTP 地址,可以从此地址下载 IdP 元数据。

    ontap_host_name 是 SAML 服务提供商主机(本示例中为 ONTAP 系统)的主机名或 IP 地址。默认使用集群管理 LIF 的 IP 地址。

    可以选择提供 ONTAP 服务器证书信息。默认情况下,使用 ONTAP Web 服务器证书信息。

    示例

    cluster_12::> security saml-sp create -idp-uri https://scspr0235321001.gdl.englab.lenovo.com/idp/shibboleth -verify-metadata-server false

    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 179] Job succeeded: Access the SAML SP metadata using the URL:            
    https://10.63.56.150/saml-sp/Metadata

    Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    结果

    将显示用于访问 ONTAP 主机元数据的 URL。

  2. 使用 ONTAP 主机元数据从 IdP 主机配置 IdP。

    关于配置 IdP 的更多信息,请参阅 IdP 文档。

  3. 启用 SAML 配置:security saml-sp modify -is-enabled true

    结果

    将为访问 httpontapi 应用程序的现有用户自动配置 SAML 认证。

  4. 配置 SAML 后,如果要为 httpontapi 应用程序创建用户,则应为新用户指定 SAML 认证方法。
    1. 为新用户创建采用 SAML 认证的登录方法:security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      示例

      cluster_12::>  security  login  create  -user-or-group-name  admin1  -application  http  -authentication-method  saml -vserver   cluster_12
    2. 确认已创建用户条目:security login show

      示例

      cluster_12::> security login show

      Vserver: cluster_12
                                                                       Second
      User/Group                 Authentication                 Acct   Authentication
      Name           Application Method        Role Name        Locked Method
      -------------- ----------- ------------- ---------------- ------ --------------
      admin          console     password      admin            no     none
      admin          http        password      admin            no     none
      admin          http        saml          admin            -      none
      admin          ontapi      password      admin            no     none
      admin          ontapi      saml          admin            -      none
      admin          service-processor
                                 password      admin            no     none
      admin          ssh         password      admin            no     none
      admin1         http        password      backup           no     none
      admin1         http        saml          backup           -      none