SAMLを設定する
アクセス管理の認証を設定する場合、ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用することができます。この設定により、アイデンティティプロバイダとストレージプロバイダの間の接続が確立されます。
アイデンティティプロバイダ(IdP)は、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するために使用される外部のシステムです。多要素認証にも対応し、Active Directoryなどの任意のユーザデータベースを使用するように設定できます。IdPの保守はセキュリティチームが行います。サービスプロバイダ(SP)は、ユーザの認証とアクセスを制御するシステムです。アクセス管理にSAMLを設定すると、ストレージアレイがアイデンティティプロバイダに認証を要求するサービスプロバイダとして機能します。IdPとストレージアレイの間の接続を確立するには、この2つのエンティティ間でメタデータファイルを共有します。その後、IdPのユーザエンティティをストレージアレイのロールにマッピングします。最後に、接続とSSOログインをテストしたうえでSAMLを有効にします。
|
|
SAML認証の設定は複数の手順からなる手順 です。
手順1:IdPのメタデータファイルをアップロードする
ストレージアレイにIdPの接続情報を提供するには、System ManagerにIdPのメタデータをインポートします。
-
Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。
-
IdP管理者がIdPシステムの設定を完了している必要があります。
-
IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。
-
IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。
-
IdPのメタデータファイルをIdPシステムからダウンロードし、System Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。
このタスクでは、IdPのメタデータファイルをSystem Managerにアップロードします。このメタデータは、IdPシステムが認証要求を正しいURLにリダイレクトし、受信した応答を検証するために必要です。コントローラが2台ある場合でも、アップロードするメタデータファイルはストレージアレイに対して1つだけです。
-
メニューを選択します。Settings [Access Management]。
-
SAML *タブを選択します。
設定手順の概要が表示されます。
-
アイデンティティプロバイダ(IdP)ファイルのインポート*リンクをクリックします。
[アイデンティティプロバイダファイルのインポート]ダイアログが開きます。
-
Browse *をクリックして、ローカルシステムにコピーしたIdPメタデータファイルを選択してアップロードします。
ファイルを選択すると、IdPのエンティティIDが表示されます。
-
[* インポート * ] をクリックします。
手順2:サービスプロバイダのファイルをエクスポートする
IdPとストレージアレイの間の信頼関係を確立するために、サービスプロバイダのメタデータをIdPにインポートします。
-
ストレージアレイの各コントローラのIPアドレスまたはドメイン名を確認しておきます。
このタスクでは、コントローラからメタデータ(コントローラごとに1ファイル)をエクスポートします。このメタデータは、IdPがコントローラとの間の信頼関係を確立し、許可要求を処理するために必要になります。このファイルには、コントローラのドメイン名やIPアドレスなど、IdPがサービスプロバイダと通信するために必要な情報が含まれています。
-
[サービスプロバイダファイルのエクスポート*]リンクをクリックします。
サービスプロバイダファイルのエクスポート*ダイアログが開きます。
-
コントローラのIPアドレスまたはDNS名を[コントローラA *]フィールドに入力し、[*エクスポート]をクリックしてメタデータファイルをローカルシステムに保存します。ストレージアレイにコントローラが2台ある場合は、2台目のコントローラの Controller B *フィールドでこの手順を繰り返します。
Export(エクスポート)をクリックすると、サービスプロバイダメタデータがローカルシステムにダウンロードされます。ファイルの保存先をメモします。
-
ローカルシステムで、エクスポートしたサービスプロバイダのメタデータファイルを探します。
コントローラごとにXML形式のファイルが1つあります。
-
IdPサーバで、サービスプロバイダのメタデータファイルをインポートして信頼関係を確立します。ファイルを直接インポートすることも、ファイルからコントローラの情報を手動で入力することもできます。
手順3:ロールをマッピングする
System Managerに対する許可とアクセスをユーザに提供するには、IdPユーザ属性とグループメンバーシップをストレージアレイの事前定義されたロールにマッピングする必要があります。
-
IdP管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。
-
IdPのメタデータファイルをSystem Managerにインポートしておきます。
-
各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。
このタスクでは、System Managerを使用してIdPグループをローカルユーザロールにマッピングします。
-
System Managerのロールをマッピングするためのリンクをクリックします。
[役割マッピング(* Role Mapping *)]ダイアログボックスが開きます。
-
IdPユーザの属性とグループを事前定義されたロールに割り当てます。1つのグループに複数のロールを割り当てることができます。
フィールドの詳細
設定 説明 マッピング
ユーザー属性
マッピングするSAMLグループの属性(「member of」など)を指定します。
属性値
マッピングするグループの属性値を指定します。
ロール
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。
-
必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。
ロールのマッピングは、SAMLを有効にしたあとに変更できます。
-
マッピングが終了したら、*保存*をクリックします。
手順4:SSOログインをテストする
IdPシステムとストレージアレイが通信できることを確認するために、必要に応じてSSOログインをテストできます。このテストは、SAMLを有効にする最後の手順でも実行します。
-
IdPのメタデータファイルをSystem Managerにインポートしておきます。
-
各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。
-
[Test SSO Login*]リンクを選択します。
SSOクレデンシャルの入力を求めるダイアログが表示されます。
-
Security AdminとMonitorの両方の権限を持つユーザのログインクレデンシャルを入力します。
ログインのテスト中にダイアログが開きます。
-
テストに成功したことを示すメッセージを確認します。テストに成功した場合は、SAMLを有効にする次の手順に進みます。
テストが正常に完了しない場合は、エラーメッセージに詳細が表示されます。次の点を確認してください。
-
ユーザがSecurity AdminとMonitorの権限を持つグループに属していること。
-
アップロードしたIdPサーバのメタデータが正しいこと。
-
SPメタデータファイル内のコントローラのアドレスが正しいこと。
-
手順5:SAMLを有効にする
最後の手順として、SAMLユーザ認証を有効にします。
-
IdPのメタデータファイルをSystem Managerにインポートしておきます。
-
各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。
-
少なくともMonitorロールとSecurity Adminロールを1つずつマッピングしておきます。
このタスクでは、ユーザ認証のSAMLの設定を終了する方法について説明します。このプロセスでは、SSOログインのテストも求められます。SSOログインのテストプロセスについては、前の手順で説明したとおりです。
|
-
[* SAML ]タブで、[ SAMLを有効にする]リンクを選択します。
[*Confirm Enable SAML *]ダイアログが開きます。
-
「enable」と入力し、「* Enable」をクリックします。
-
SSOログインのテスト用にユーザクレデンシャルを入力します。
SAMLが有効になると、アクティブなセッションはすべて終了され、SAMLを使用したユーザの認証が開始されます。