Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SAMLを設定する

共同作成者

アクセス管理の認証を設定する場合、ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用することができます。この設定により、アイデンティティプロバイダとストレージプロバイダの間の接続が確立されます。

このタスクについて

アイデンティティプロバイダ(IdP)は、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するために使用される外部のシステムです。多要素認証にも対応し、Active Directoryなどの任意のユーザデータベースを使用するように設定できます。IdPの保守はセキュリティチームが行います。サービスプロバイダ(SP)は、ユーザの認証とアクセスを制御するシステムです。アクセス管理にSAMLを設定すると、ストレージアレイがアイデンティティプロバイダに認証を要求するサービスプロバイダとして機能します。IdPとストレージアレイの間の接続を確立するには、この2つのエンティティ間でメタデータファイルを共有します。その後、IdPのユーザエンティティをストレージアレイのロールにマッピングします。最後に、接続とSSOログインをテストしたうえでSAMLを有効にします。

メモ
  • SAMLとディレクトリサービス*。認証方式としてディレクトリサービスを使用するように設定されている状況でSAMLを有効にした場合、System ManagerではSAMLがディレクトリサービスよりも優先されます。あとでSAMLを無効にすると、元の設定に戻ってディレクトリサービスが使用されます。

メモ
  • SAMLを編集および無効化しています。* SAMLを有効にすると、ユーザインターフェイスで無効にすることはできず、IdP設定を編集することもできません。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。

SAML認証の設定は複数の手順からなる手順 です。

手順1:IdPのメタデータファイルをアップロードする

ストレージアレイにIdPの接続情報を提供するには、System ManagerにIdPのメタデータをインポートします。

作業を開始する前に
  • Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。

  • IdP管理者がIdPシステムの設定を完了している必要があります。

  • IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。

  • IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。

  • IdPのメタデータファイルをIdPシステムからダウンロードし、System Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。

このタスクについて

このタスクでは、IdPのメタデータファイルをSystem Managerにアップロードします。このメタデータは、IdPシステムが認証要求を正しいURLにリダイレクトし、受信した応答を検証するために必要です。コントローラが2台ある場合でも、アップロードするメタデータファイルはストレージアレイに対して1つだけです。

手順
  1. メニューを選択します。Settings [Access Management]。

  2. SAML *タブを選択します。

    設定手順の概要が表示されます。

  3. アイデンティティプロバイダ(IdP)ファイルのインポート*リンクをクリックします。

    [アイデンティティプロバイダファイルのインポート]ダイアログが開きます。

  4. Browse *をクリックして、ローカルシステムにコピーしたIdPメタデータファイルを選択してアップロードします。

    ファイルを選択すると、IdPのエンティティIDが表示されます。

  5. [* インポート * ] をクリックします。

手順2:サービスプロバイダのファイルをエクスポートする

IdPとストレージアレイの間の信頼関係を確立するために、サービスプロバイダのメタデータをIdPにインポートします。

作業を開始する前に
  • ストレージアレイの各コントローラのIPアドレスまたはドメイン名を確認しておきます。

このタスクについて

このタスクでは、コントローラからメタデータ(コントローラごとに1ファイル)をエクスポートします。このメタデータは、IdPがコントローラとの間の信頼関係を確立し、許可要求を処理するために必要になります。このファイルには、コントローラのドメイン名やIPアドレスなど、IdPがサービスプロバイダと通信するために必要な情報が含まれています。

手順
  1. [サービスプロバイダファイルのエクスポート*]リンクをクリックします。

    サービスプロバイダファイルのエクスポート*ダイアログが開きます。

  2. コントローラのIPアドレスまたはDNS名を[コントローラA *]フィールドに入力し、[*エクスポート]をクリックしてメタデータファイルをローカルシステムに保存します。ストレージアレイにコントローラが2台ある場合は、2台目のコントローラの Controller B *フィールドでこの手順を繰り返します。

    Export(エクスポート)をクリックすると、サービスプロバイダメタデータがローカルシステムにダウンロードされます。ファイルの保存先をメモします。

  3. ローカルシステムで、エクスポートしたサービスプロバイダのメタデータファイルを探します。

    コントローラごとにXML形式のファイルが1つあります。

  4. IdPサーバで、サービスプロバイダのメタデータファイルをインポートして信頼関係を確立します。ファイルを直接インポートすることも、ファイルからコントローラの情報を手動で入力することもできます。

手順3:ロールをマッピングする

System Managerに対する許可とアクセスをユーザに提供するには、IdPユーザ属性とグループメンバーシップをストレージアレイの事前定義されたロールにマッピングする必要があります。

作業を開始する前に
  • IdP管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。

  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。

このタスクについて

このタスクでは、System Managerを使用してIdPグループをローカルユーザロールにマッピングします。

手順
  1. System Managerのロールをマッピングするためのリンクをクリックします。

    [役割マッピング(* Role Mapping *)]ダイアログボックスが開きます。

  2. IdPユーザの属性とグループを事前定義されたロールに割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 説明

    マッピング

    ユーザー属性

    マッピングするSAMLグループの属性(「member of」など)を指定します。

    属性値

    マッピングするグループの属性値を指定します。

    ロール

    メモ

    Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

  3. 必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。

    メモ

    ロールのマッピングは、SAMLを有効にしたあとに変更できます。

  4. マッピングが終了したら、*保存*をクリックします。

手順4:SSOログインをテストする

IdPシステムとストレージアレイが通信できることを確認するために、必要に応じてSSOログインをテストできます。このテストは、SAMLを有効にする最後の手順でも実行します。

作業を開始する前に
  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。

手順
  1. [Test SSO Login*]リンクを選択します。

    SSOクレデンシャルの入力を求めるダイアログが表示されます。

  2. Security AdminとMonitorの両方の権限を持つユーザのログインクレデンシャルを入力します。

    ログインのテスト中にダイアログが開きます。

  3. テストに成功したことを示すメッセージを確認します。テストに成功した場合は、SAMLを有効にする次の手順に進みます。

    テストが正常に完了しない場合は、エラーメッセージに詳細が表示されます。次の点を確認してください。

    • ユーザがSecurity AdminとMonitorの権限を持つグループに属していること。

    • アップロードしたIdPサーバのメタデータが正しいこと。

    • SPメタデータファイル内のコントローラのアドレスが正しいこと。

手順5:SAMLを有効にする

最後の手順として、SAMLユーザ認証を有効にします。

作業を開始する前に
  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。

  • 少なくともMonitorロールとSecurity Adminロールを1つずつマッピングしておきます。

このタスクについて

このタスクでは、ユーザ認証のSAMLの設定を終了する方法について説明します。このプロセスでは、SSOログインのテストも求められます。SSOログインのテストプロセスについては、前の手順で説明したとおりです。

メモ
  • SAMLを編集および無効化しています。* SAMLを有効にすると、ユーザインターフェイスで無効にすることはできず、IdP設定を編集することもできません。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。

手順
  1. [* SAML ]タブで、[ SAMLを有効にする]リンクを選択します。

    [*Confirm Enable SAML *]ダイアログが開きます。

  2. 「enable」と入力し、「* Enable」をクリックします。

  3. SSOログインのテスト用にユーザクレデンシャルを入力します。

結果

SAMLが有効になると、アクティブなセッションはすべて終了され、SAMLを使用したユーザの認証が開始されます。