跳转到主内容

在ONTAP System Manager中启用SAML身份验证的前提条件是什么?

Views:
10
Visibility:
Public
Votes:
0
Category:
ontap-system-manager
Specialty:
om
Last Updated:

适用场景

  • ONTAP System Manager 9.3 及更高版本
  • 安全断言标记语言( SAML )

问题解答

支持的IdP服务器
申请规则
sam 帐户名称 名称 ID
sam 帐户名称 urn : OID : 0.9.2342.19200300.100.1.1
名称格式 urn:OASIS:名称:tc:SAML:2.0:attrname-format:uri
令牌组—非限定名称 urn : OID : 1.3.6.1.4.1.5923.1.5.1.1

注意: 需要在IdP服务器中配置/设置上述声明规则。

  • IdP服务器设置由IdP管理员完成、此过程不涉及NetApp支持。
端口、本地用户设置和其他配置
  • ONTAP 集群和IdP服务器之间需要打开端口443或80 
  • 访问 ONTAP 集群的远程LAN模块(RLM)或服务处理器(SP)控制台 
    • 如果IdP配置不当、管理用户将无法登录到System Manager
    • 您将无法从集群管理LIF禁用SAML;必须从RLM或SP控制台禁用SAML。 
  • 集群上配置的Active Directory域组当前不支持SAML
  • 使用ONTAP 命令行界面在ONTAP 集群中添加SAML域用户

注意

  • ONTAP 区分大小写
  • 无需使用 sAMAccountName (Domain\Username)、只需使用 用户名即可
  • 在某些情况下、您需要使用等用户名模式 user@domain 才能正常工作、因为此模式来自IdP

 

  • 示例1

如果Active Directory域用户名是 john 且大写 为J、则在ONTAP 集群中添加同名SAML用户。

cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin

  • 示例2

如果Active Directory域用户名是 john 且大写 为H

cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name JoHn -application ontapi -authentication-method saml -role admin

DNS
  • 集群应能够对IdP服务器的完全限定域名执行ping操作

::> dns hosts show

::> ping <IDP_server_name>

  • IdP服务器应能够对集群管理LIF或集群完全限定域名执行ping操作

IdP server CLI --> ping <cluster_FQDN>

  • 检查以确保集群证书未过期

::> security certificate show -vserver <cluster_name> -common-name <clustername>

IdP (身份提供程序) URL
  • 从ADFS或Shibboleth服务器捕获IdP URL
    • Okta和Ping联合已成功配置、但未在NetApp中进行测试。
    • 要在ONTAP System Manager上配置SAML、需要使用此URL。
  • Okta URL不应包含 令牌组非限定名称

正确的URL— https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
不正确的URL—  https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata

  • PING联合URL将类似于以下内容:

https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.