認証のためにSecurity Assertion Markup Language(SAML)の機能を設定して有効にする前に、次の要件を満たしていることを確認し、SAMLの制限事項を理解しておきます。
要件
作業を開始する前に、次の点を確認します。
- ネットワークにアイデンティティ プロバイダ(IdP)を設定しておきます。IdPは、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するための外部システムです。IdPの保守は社内のセキュリティ チームが行います。
- IdP管理者が、IdPシステムでユーザ属性とユーザ グループを設定しておく必要があります。
- IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。
- IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。
- IdPのメタデータ ファイルをIdPシステムからダウンロードし、System Managerへのアクセスに使用するローカル システムで使用できるようにしておきます。
- ストレージ アレイの各コントローラのIPアドレスまたはドメイン名を確認しておきます。
制限事項
上記の要件に加えて、次の制限事項を理解しておきます。
- SAMLを有効にした場合、ユーザ インターフェイスで無効にしたり、IdP設定を編集したりすることはできません。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカル サポートにお問い合わせください。最後の設定手順でSAMLを有効にする前に、SSOログインをテストすることを推奨します (SSOログイン テストはSAMLが有効になる前にシステムでも実行されます)。
- あとでSAMLを無効にすると、以前の設定(ローカル ユーザ ロール、ディレクトリ サービス、またはその両方)が自動的にリストアされます。
- 現在ユーザ認証にディレクトリ サービスが設定されている場合は、SAMLによって上書きされます。
- SAMLを設定すると、次のクライアントがストレージ アレイ リソースにアクセスできなくなります。
- Enterprise Management Window(EMW)
- コマンドライン インターフェイス(CLI)
- ソフトウェア開発キット(SDK)クライアント
- インバンド クライアント
- HTTPベーシック認証REST APIクライアント
- 標準のREST APIエンドポイントを使用したログイン