采用 SAML 的访问管理
对于访问管理,管理员可使用阵列中嵌入的安全断言标记语言(SAML)2.0 功能。
配置工作流程
SAML 配置的工作原理如下:
管理员使用具有安全管理员权限的用户概要文件登录到
System Manager。注admin 用户可完全访问System Manager 中的所有功能。 管理员转至
访问管理下的 SAML。管理员配置与身份提供者(IdP)之间的通信。IdP 是一个外部系统,用于请求用户的凭证以及确定该用户是否已成功通过认证。要配置与存储阵列之间的通信,管理员需要从 IdP 系统下载 IdP 元数据文件,然后使用
System Manager 将该文件上传到存储阵列。管理员建立服务提供商与 IdP 之间的信任关系。服务提供商控制用户授权;在这种情况下,存储阵列中的控制器充当服务提供商。要配置通信,管理员可使用
System Manager 导出各控制器的服务提供商元数据文件。然后,管理员从 IdP 系统将这些元数据文件导入到 IdP 中。注管理员还应确保 IdP 支持在执行认证时返回名称标识。管理员将存储阵列的角色映射到 IdP 中定义的用户属性。为此,管理员应转至
System Manager 创建映射。管理员测试 IdP URL 的 SSO 登录。此测试确保存储阵列可与 IdP 通信。
警告启用 SAML 后,无法 通过用户界面将其禁用,也不能编辑 IdP 设置。如果需要禁用或编辑 SAML 配置,请联系技术支持以获取帮助。从
System Manager,管理员为存储阵列启用 SAML。用户使用他们的 SSO 凭证登录系统。
管理
使用 SAML 进行认证时,管理员可执行以下管理任务:
修改或新建角色映射
导出服务提供商文件
访问权限限制
启用 SAML 后,用户将无法从 ThinkSystem SAN Manager 中发现或管理该阵列的存储。
此外,以下客户端也不能访问存储阵列服务和资源:
命令行界面(CLI)
软件开发者工具包(SDK)客户端
带内客户端
HTTP 基本认证 REST API 客户端
使用标准 REST API 端点登录
提供反馈