在 ONTAP System Manager 中启用 SAML 身份验证的先决条件是什么?
适用于
- ONTAP System Manager 9.3 及更高版本
- 安全断言标记语言 (SAML)
问题解答
支持的 IdP 服务器
- Microsoft Active Directory 联合服务 (ADFS)
- 开源 Shibboleth
- Cisco DUO 与 ONTAP 9.12.1 及更高版本
- Microsoft Entra ID 与 ONTAP 9.17.1 及更高版本
| 领取规则 | 值 |
|---|---|
| SAM 账户名 | 名称 ID |
| SAM 账户名 | urn:oid:0.9.2342.19200300.100.1.1 |
| 名称格式 | urn:oasis:names:tc:SAML:2.0:attrname-format:uri |
| 令牌组 - 未限定名称 | urn:oid:1.3.6.1.4.1.5923.1.5.1.1 |
注:上述声明规则需要在 IdP 服务器中配置/设置。
- IdP 服务器设置由 IdP 管理员完成,NetApp 支持不参与此过程。
端口、本地用户设置和其他配置
- ONTAP 集群和 IdP 服务器之间需要打开端口 443 或 80
- 访问 远程 LAN 模块(RLM)或 服务处理器(SP)控制台
- 如果 IdP 配置错误,管理用户将无法登录到 System Manager
- 您将无法从集群管理 LIF 禁用 SAML;您必须从 RLM 或 SP 控制台禁用 SAML
- 在集群上配置的 Active Directory 域组将从 ONTAP 9.14.1 及更高版本开始使用 SAML。
- 若要将 Active Directory 域组与 SAML 一起使用,必须使用域身份验证方法添加这些组。
security login create -user-or-group-name <domain_group_name> -application http -authentication-method domain -role admin
security login create -user-or-group-name <domain_group_name> -application ontapi -authentication-method domain -role admin - Active Directory 组名称区分大小写。
- 若要将 Active Directory 域组与 SAML 一起使用,必须使用域身份验证方法添加这些组。
- 使用 ONTAP CLI 在 ONTAP 集群中添加 SAML 域用户
注意:
- ONTAP 区分大小写
- 无需使用 sAMAccountName(Domain\Username),只需使用用户名
- 在某些情况下,您需要使用用户名模式,例如
user@domain使其正常工作,因为这来自 IdP - 示例 1:
如果 Active Directory 域用户名为 John 且带有大写字母 J,则在 Ontap 集群中添加同名的 SAML 用户。
cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin
- 示例 2:
如果 Active Directory 域用户名为 joHn 且大写为 H。
cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin
DNS
- 集群应该能够 ping 通 IdP 服务器完全限定域名
::> dns hosts show
::> ping <IDP_server_name>
- IdP 服务器应能够 ping 通集群管理 LIF 或集群完全限定域名
IdP server CLI --> ping <cluster_FQDN>
- 检查以确保集群证书未过期
::> security certificate show -vserver <cluster_name> -common-name <clustername>
IdP(身份提供程序)URL
- 从 ADFS 或 Shibboleth 服务器捕获 IdP URL
- OKTA 和 Ping Federate 已成功配置,但尚未在 NetApp 中进行测试。
- 在 ONTAP System Manager 上配置 SAML 需要 URL。
- OkTA URL 不应包含令牌组未限定名称
正确 URL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
不正确 URL -- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata
- Ping Federate URL 将与以下内容类似:
https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn