在ONTAP系统管理器中启用SAML身份验证的前提条件是什么?
适用场景
- ONTAP System Manager 9.3及更高版本
- 安全断言标记语言(SAML)
问题解答
支持的Idp服务器
- Microsoft Active Directory联合服务(ADFS)
- 开源Shbboleth
- 采用ONTAP 9.12.1及更高版本的Cisco Duo
款项申请规则 | 值 |
---|---|
sam-account-name | 名称ID |
sam-account-name | urn:OID:0.9.2342.19200300.100.1.1 |
名称格式 | URN:OASY:NAMEs:TC:SAML:2.0:attrname-format:uri |
令牌组—非限定名称 | urn:OID:1.3.6.1.4.1.5923.1.5.1.1 |
注意: 需要在Idp服务器中配置/设置上述申请规则。
- Idp服务器设置由Idp管理员完成、此过程不涉及NetApp支持。
端口、本地用户设置和其他配置
- 需要打开ONTAP集群和Idp服务器之间的端口443或80
- 访问 ONTAP集群的远程LAN模块(RLM)或服务处理器(SP)控制台
- 如果 Idp配置不当、管理用户将无法登录到System Manager
- 您将无法从集群管理LIF禁用SAML;必须从RLM 或SP控制台禁用SAML。
- 在集群上配置的Active Directory域组无法在ONTAP上与SAML结合使用。
- 使用ONTAP命令行界面在ONTAP集群中添加SAML域用户
注意:
- ONTAP区分大小写
- 无需使用sAMAccountName (域\用户名)、只需使用用户名即可
- 在某些情况下、您需要使用
user@domain
等用户名模式才能使其正常工作、因为此模式来自Idp
- 示例1:
如果Active Directory域用户名是john且大写为J,则在同名ONTAP集群中添加SAML用户。
cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin
- 示例2:
如果Active Directory域用户名是John且大写为H。
cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin
DNS
- 集群应能够对Idp服务器完全限定域名执行ping操作
::> dns hosts show
::> ping <IDP_server_name>
- Idp服务器应能够对集群管理lf或集群完全限定域名执行ping操作
IdP server CLI --> ping <cluster_FQDN>
- 检查以确保集群证书未过期
::> security certificate show -vserver <cluster_name> -common-name <clustername>
Idp (身份提供程序) URL
- 从ADFS或Shbboleth服务器捕获Idp URL
- 已成功配置Okta和Ping联合、但未在NetApp中进行测试。
- 要在ONTAP系统管理器上配置SAML、需要使用此URL。
- Okta URL不应包含令牌组非限定名称
正确的URL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
错误的URL -- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata
- Ping联合URL类似于以下内容:
https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn