跳到主要内容

配置 SAML

要为访问管理配置认证,可使用存储阵列中嵌入的安全断言标记语言(SAML)功能。此配置在身份提供商与存储提供商之间建立连接。

关于本任务

身份提供者(IdP)是一个外部系统,用于请求用户的凭证以及确定该用户是否已成功通过认证。IdP 可配置为提供多因素认证以及使用任何用户数据库,例如 Active Directory。安全团队负责维护 IdP。 服务提供商(SP)是控制用户认证和访问权限的系统。如果为“访问管理”配置了 SAML,则存储阵列将充当服务提供商向身份提供者请求认证。 要在 IdP 与存储阵列之间建立连接,这两个实体之间需要共用元数据文件。然后,将 IdP 用户实体映射到存储阵列角色。最后,在启用 SAML 之前测试连接和 SSO 登录。

SAML 和目录服务。如果在将目录服务配置为认证方法的情况下启用 SAML,SAML 将在 System Manager 中取代目录服务。如果以后禁用 SAML,目录服务配置会恢复为之前的配置。
注意
编辑和禁用。 启用 SAML 后,无法 通过用户界面将其禁用,也不能编辑 IdP 设置。如果需要禁用或编辑 SAML 配置,请联系技术支持以获取帮助。

配置 SAML 认证是一个多步骤过程。

  1. 步骤 1:上传 IdP 元数据文件
    要为存储阵列提供 IdP 连接信息,请将 IdP 元数据导入到 System Manager 中。
  2. 步骤 2:导出服务提供商文件
    要建立 IdP 与存储阵列之间的信任关系,需要将服务提供商元数据导入 IdP 中。
  3. 步骤 3:映射角色
    要为用户提供授权和 System Manager 的访问权限,必须将 IdP 用户属性和组成员资格映射到存储阵列的预定义角色。
  4. 步骤 4:测试 SSO 登录
    要确保 IdP 系统和存储阵列可进行通信,可以选择测试 SSO 登录。启用 SAML 的最后一步也会执行该测试。
  5. 步骤 5:启用 SAML
    最后一步是启用 SAML 用户认证。