跳到主要内容

配置 SAML

要为访问管理配置认证,可使用存储阵列中嵌入的安全断言标记语言(SAML)功能。此配置在身份提供商与存储提供商之间建立连接。

关于本任务

身份提供者(IdP)是一个外部系统,用于请求用户的凭证以及确定该用户是否已成功通过认证。IdP 可配置为提供多因素认证以及使用任何用户数据库,例如 Active Directory。安全团队负责维护 IdP。 服务提供商(SP)是控制用户认证和访问权限的系统。如果为“访问管理”配置了 SAML,则存储阵列将充当服务提供商向身份提供者请求认证。 要在 IdP 与存储阵列之间建立连接,这两个实体之间需要共用元数据文件。然后,将 IdP 用户实体映射到存储阵列角色。最后,在启用 SAML 之前测试连接和 SSO 登录。

SAML 和目录服务。如果在将目录服务配置为认证方法的情况下启用 SAML,SAML 将在 System Manager 中取代目录服务。如果以后禁用 SAML,目录服务配置会恢复为之前的配置。
注意
编辑和禁用。 启用 SAML 后,无法 通过用户界面将其禁用,也不能编辑 IdP 设置。如果需要禁用或编辑 SAML 配置,请联系技术支持以获取帮助。

配置 SAML 认证是一个多步骤过程:

步骤 1:上传 IdP 元数据文件

要为存储阵列提供 IdP 连接信息,请将 IdP 元数据导入到 System Manager 中。

开始之前

  • 必须使用包含安全管理员权限的用户概要文件进行登录。否则,不会出现访问管理功能。

  • IdP 管理员已配置了 IdP 系统。

  • IdP 管理员已确保 IdP 支持在执行认证时返回名称标识。

  • 管理员已确保同步 IdP 服务器和控制器时钟(通过 NTP 服务器或通过调整控制器时钟设置)。

  • 将从 IdP 系统下载 IdP 元数据文件并提供给本地系统用于访问

    System Manager 中不可用。

关于本任务

在此任务中,将把元数据文件从 IdP 上传到 System Manager 中。IdP 系统需要此元数据才能将认证请求重定向到正确的 URL 和验证收到的响应。即使有两个控制器,也只需为存储阵列上传一个元数据文件。

  1. 选择设置 > 访问管理
  2. 选择 SAML 选项卡。
    此页面显示配置步骤概述。
  3. 单击导入身份提供商(IdP)文件链接。
    随后将打开“导入身份提供商文件”对话框。
  4. 单击浏览选择并上传您拷贝到本地系统的 IdP 元数据文件。
    选择文件后,将显示 IdP 实体 ID。
  5. 单击导入

步骤 2:导出服务提供商文件

要建立 IdP 与存储阵列之间的信任关系,需要将服务提供商元数据导入 IdP 中。

开始之前

  • 您了解存储阵列中每个控制器的 IP 地址或域名。

关于本任务

在此任务中,将从控制器导出元数据(每个控制器一个文件)。IdP 需要此元数据才能与控制器建立信任关系和处理授权请求。该文件中包含控制器域名或 IP 地址之类信息,以便 IdP 与服务提供商通信。

  1. 单击导出服务提供商文件链接。
    随后将打开“导出服务提供商文件”对话框。
  2. 控制器 A 字段中输入控制器 IP 地址或 DNS 名称,然后单击导出将元数据文件保存到本地系统。如果存储阵列中包含两个控制器,则在控制器 B 字段中对第二个控制器重复此步骤。
    单击导出之后,将把服务提供商元数据下载到本地系统。记下该文件的存储位置。
  3. 在本地系统上查找导出的服务提供商元数据文件。

    每个控制器一个 XML 格式的文件。
  4. 从 IdP 服务器导入服务提供商元数据文件,以便建立信任关系。可以直接导入这些文件,也可以手动输入文件中的控制器信息。

步骤 3:映射角色

要为用户提供授权和 System Manager 的访问权限,必须将 IdP 用户属性和组成员资格映射到存储阵列的预定义角色。

开始之前

  • IdP 管理员已在 IdP 系统中配置了用户属性和组成员资格。

  • 将把 IdP 元数据文件导入

    System Manager

  • 将把各控制器的服务提供商元数据文件导入到 IdP 系统中以建立信任关系。

关于本任务

在此任务中,将使用 System Manager 把 IdP 组映射到本地用户角色。

  1. 单击用于映射 System Manager 角色的链接。
    随后将打开“角色映射”对话框。
  2. 将 IdP 用户属性和组分配给预定义的角色。一个组可具有多个已分配的角色。

    字段详细信息

    设置描述
    映射
    用户属性指定要映射的 SAML 组的属性(例如,“成员”)。
    属性值指定要映射的组的属性值。
    角色单击此字段,然后选择要映射到属性的存储阵列角色之一。必须单独选择要包含的每个角色。为了登录到 System Manager ,必须提供监察员角色并与其他角色结合使用。如果至少有一个组,则还需要安全管理员角色。
    映射的角色拥有以下权限:
    • 存储管理员 – 对存储对象(例如,卷和磁盘池)具有完全读/写访问权限,但不能访问安全配置。
    • 安全管理员 – 可访问“访问管理”、证书管理和审核日志管理中的安全配置,并能够打开或关闭旧版管理界面(SYMbol)。
    • 支持管理员 – 可访问存储阵列上的所有硬件资源、故障数据、MEL 事件和控制器固件升级。不能访问存储对象或安全配置。
    • 监察员 – 对所有存储对象具有只读访问权限,但不能访问安全配置。
  3. 如果需要,单击添加另一个映射以输入更多组到角色的映射。

    启用 SAML 之后,可修改角色映射。
  4. 映射完毕后,单击保存

步骤 4:测试 SSO 登录

要确保 IdP 系统和存储阵列可进行通信,可以选择测试 SSO 登录。启用 SAML 的最后一步也会执行该测试。

开始之前

  • 将把 IdP 元数据文件导入

    System Manager 中不可用。

  • 将把各控制器的服务提供商元数据文件导入到 IdP 系统中以建立信任关系。

  1. 选择测试 SSO 登录链接。
    随后将打开一个对话框,用于输入 SSO 凭证。
  2. 输入同时具有安全管理员权限和监控权限的用户的登录凭证。
    系统测试登录时,将打开一个对话框。
  3. 查找测试成功消息。如果测试成功完成,请转至下一步启用 SAML。
    如果测试未成功完成,将显示一条错误消息,其中包含更多信息。确保:

    • 用户所属组具有安全管理员和监控权限。

    • 为 IdP 服务器上传的元数据正确无误。

    • SP 元数据文件中的控制器地址正确无误。

步骤 5:启用 SAML

最后一步是启用 SAML 用户认证。

开始之前

  • 将把 IdP 元数据文件导入

    System Manager 中不可用。

  • 将把各控制器的服务提供商元数据文件导入到 IdP 系统中以建立信任关系。

  • 至少配置一个监控和一个安全管理员角色映射。

关于本任务

此任务说明如何完成 SAML 配置以进行用户认证。在此过程中,系统还会提示您测试 SSO 登录。上一步中介绍了 SSO 登录测试过程。

注意
编辑和禁用。 启用 SAML 后,无法 通过用户界面将其禁用,也不能编辑 IdP 设置。如果需要禁用或编辑 SAML 配置,请联系技术支持以获取帮助。
  1. SAML 选项卡上,选择启用 SAML 链接。
    随后将打开“确认启用 SAML”对话框。
  2. 键入 enable,然后单击启用
  3. 输入用于 SSO 登录测试的用户凭证。
系统启用 SAML 之后,将终止所有活动会话,然后开始通过 SAML 对用户执行身份验证。