在 AIQUM 中启用 SAML 身份验证的前提条件
适用场景
- Active IQ Unified Manager ( AIQUM )
- 安全断言标记语言( SAML )
问题描述
术语
- Active IQ Unified Manager 服务器仅针对以下 IdP 服务器进行测试。
- Microsoft Active Directory 联合服务(ADFS)
- 由 Microsoft 开发的身份提供程序。它可以在 Windows Server 操作系统上运行,使用户能够单点登录访问位于组织边界上的系统和应用程序
- 开源Shibboleth
- Shibboleth 是一个提供单点登录功能的开源项目。它允许站点以保护隐私的方式为个人访问受保护的联机资源做出明智的授权决策
- Microsoft Active Directory 联合服务(ADFS)
- 安全断言标记语言( SAML )
- 一种开放式标准,用于在双方之间交换身份验证和授权数据,尤其是在身份提供程序和服务提供商之间。顾名思义, SAML 是一种基于 XML 的标记语言
- 单点登录( SSO )。
- SAML IdP 身份验证后, IdP 会发出 SAML 断言,并将管理员的 Web 浏览器重定向回 UM 。UM 处理 SAML 断言,然后从其内部数据库查找授权角色。此时将建立会话, UM 会将 SAML 会话令牌返回到管理员的 Web 浏览器。对于安全 SAML 令牌, IdP 的默认生命周期配置为 2 – 8 小时。这些设置因依赖方特定设置而过可写。管理员可以在令牌的生命周期内访问 UM
- 声明规则。
- 声明规则提供了一种将 IdP 定义的属性映射到依赖方的机制。依赖方使用这些属性(例如用户 ID 或公用名)在 IdP 身份验证后映射授权。
- IdP (身份提供程序)要求
| 申请规则 | 值 |
| sam 帐户名称 | 名称 ID |
| sam 帐户名称 | urn : OID : 0.9.2342.19200300.100.1.1 |
| 令牌组—非限定名称 | urn : OID : 1.3.6.1.4.1.5923.1.5.1.1 |
注意:需要在 IdP 服务器中配置 / 设置上述声明规则。IdP 服务器设置仅由 IdP 管理员完成。设置 IdP 服务器不涉及 NetApp 支持。
端口,本地用户设置和其他配置:
- 需要在 Active IQ Unified Manager 和 IdP 服务器之间打开端口( 443 或 80 )
- 在配置 Active IQ Unified Manager 身份验证之前,必须先配置 SAML " 远程身份验证 "
- 要在 Active IQ Unified Manager 中配置 " 远程身份验证 " ,请访问此知识库。
- 使用 UM 命令行界面确认已启用远程身份验证
um cli login -u <maintenance_user>um option list | grep -i "auth.ldap.enabled"- 注: "true" 输出为已启用 LDAP
- 您可以使用 UM Web UI 进行确认
- 确认您是否能够以 Active Directory 域用户身份登录到 Unified Manager 服务器
- 注意:如果启用了远程身份验证,但未添加 " 远程用户 " 或 " 远程组 " ,则无法启用 "SAML 身份验证 " 。因此,必须启用 " 远程身份验证 " ,然后以域用户身份登录到统一管理器。
- DNS
- Active IQ Unified Manager 应能够对 IdP 服务器的完全限定域名执行 ping 操作
- IdP 服务器应能够对 Unified Manager 完全限定域名执行 ping 操作
IDP CLI --> ping <Active_IQ_Unified_Manager_FQDN>
- 检查以确保 Unified Manager 证书未过期
- 您可以通过两种方式检查此问题,即 UM WebUI 和 UM CLI
- UM 命令行界面:
dfm cli login -u <maintenance_user>dfm ssl server detail
- UM Web UI :
- UM 命令行界面:
- 您可以通过两种方式检查此问题,即 UM WebUI 和 UM CLI
- IdP (身份提供程序) URL
- 请从 ADFS 或 Shibboleth 服务器捕获 IdP URL ,我们需要使用此 URL 在 Active IQ Unified Manager 上配置 SAML 。