在ONTAP System Manager中启用SAML身份验证的前提条件是什么？

支持的Idp服务器

• Microsoft Active Directory联合服务(ADFS)
• Azure AD
  • 如何在ONTAP系统管理器中使用Azure AD作为Idp设置SAML身份验证
• 开源 Shbboleth
• 采用ONTAP 9.12.1及更高版本的Cisco Duo

注意：  需要在Idp服务器中配置/设置上述申请规则。

• Idp服务器设置由Idp管理员完成、此过程不涉及NetApp支持。

端口、本地用户设置和其他配置

• 需要打开ONTAP集群和Idp服务器之间的端口443或80
• 访问   ONTAP集群的远程LAN模块(RLM)或服务处理器(SP)控制台 
  • 如果 Idp配置不当、管理用户将无法登录到System Manager
  • 您将无法从集群管理LIF禁用SAML；必须从RLM 或SP控制台禁用SAML。 
• 在集群上配置的Active Directory域组当前不支持SAML
•  使用ONTAP命令行界面在ONTAP集群中添加SAML域用户

注意：

• ONTAP 区分大小写
• 无需使用 sAMAccountName (域\用户名)、只需使用 用户名即可
• 在某些情况下、您需要使用用户名模式 user@domain 、例如、才能使其正常工作、因为它来自Idp

• 示例1：

如果Active Directory域用户名是 john 且大写为 J，则在同名ONTAP集群中添加SAML用户。

cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin

• 示例2：

如果Active Directory域用户名是 John 且大写为 H。

cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin

DNS

• 集群应能够对Idp服务器完全限定域名执行ping操作

::> dns hosts show

::> ping <IDP_server_name>

• Idp服务器应能够对集群管理lf或集群完全限定域名执行ping操作

IdP server CLI --> ping <cluster_FQDN>

• 检查以确保集群证书未过期

::> security certificate show -vserver <cluster_name> -common-name <clustername>

Idp (身份提供程序) URL

• 从ADFS或Shbboleth服务器捕获Idp URL
  • [1] 已成功配置Okta和Ping联合、但未在NetApp中进行测试。
  • 要在ONTAP系统管理器上配置SAML、需要使用此URL。
• Okta URL不应包含 令牌组非限定名称

正确的URL --  https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
错误的URL --  https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata

• Ping联合URL类似于以下内容：

https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn