在ONTAP System Manager中启用SAML身份验证的前提条件是什么?
适用场景
- ONTAP System Manager 9.3 及更高版本
- 安全断言标记语言( SAML )
问题解答
支持的IdP服务器
- Microsoft Active Directory联合服务(ADFS)
- Azure AD
- 开源 Shibboleth
- 采用ONTAP 9.12.1及更高版本的Cisco Duo
申请规则 | 值 |
---|---|
sam 帐户名称 | 名称 ID |
sam 帐户名称 | urn : OID : 0.9.2342.19200300.100.1.1 |
名称格式 | urn:OASIS:名称:tc:SAML:2.0:attrname-format:uri |
令牌组—非限定名称 | urn : OID : 1.3.6.1.4.1.5923.1.5.1.1 |
注意: 需要在IdP服务器中配置/设置上述声明规则。
- IdP服务器设置由IdP管理员完成、此过程不涉及NetApp支持。
端口、本地用户设置和其他配置
- ONTAP 集群和IdP服务器之间需要打开端口443或80
- 访问 ONTAP 集群的远程LAN模块(RLM)或服务处理器(SP)控制台
- 如果IdP配置不当、管理用户将无法登录到System Manager
- 您将无法从集群管理LIF禁用SAML;必须从RLM或SP控制台禁用SAML。
- 集群上配置的Active Directory域组当前不支持SAML
- 使用ONTAP 命令行界面在ONTAP 集群中添加SAML域用户
注意:
- ONTAP 区分大小写
- 无需使用 sAMAccountName (Domain\Username)、只需使用 用户名即可
- 在某些情况下、您需要使用等用户名模式
user@domain
才能正常工作、因为此模式来自IdP
- 示例1:
如果Active Directory域用户名是 john 且大写 为J、则在ONTAP 集群中添加同名SAML用户。
cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin
- 示例2:
如果Active Directory域用户名是 john 且大写 为H。
cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name JoHn -application ontapi -authentication-method saml -role admin
DNS
- 集群应能够对IdP服务器的完全限定域名执行ping操作
::> dns hosts show
::> ping <IDP_server_name>
- IdP服务器应能够对集群管理LIF或集群完全限定域名执行ping操作
IdP server CLI --> ping <cluster_FQDN>
- 检查以确保集群证书未过期
::> security certificate show -vserver <cluster_name> -common-name <clustername>
IdP (身份提供程序) URL
- 从ADFS或Shibboleth服务器捕获IdP URL
- Okta和Ping联合已成功配置、但未在NetApp中进行测试。
- 要在ONTAP System Manager上配置SAML、需要使用此URL。
- Okta URL不应包含 令牌组非限定名称
正确的URL— https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
不正确的URL— https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata
- PING联合URL将类似于以下内容:
https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn