Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SAMLを設定する

共同作成者

アクセス管理の認証を設定する場合、ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用することができます。この設定により、アイデンティティプロバイダとストレージプロバイダの間の接続が確立されます。

作業を開始する前に
  • Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。

  • ストレージアレイの各コントローラのIPアドレスまたはドメイン名を確認しておく必要があります。

  • IdP管理者がIdPシステムの設定を完了している必要があります。

  • IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。

  • IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。

  • IdPのメタデータファイルをIdPシステムからダウンロードし、System Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。

このタスクについて

アイデンティティプロバイダ(IdP)は、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するために使用される外部のシステムです。多要素認証にも対応し、Active Directoryなどの任意のユーザデータベースを使用するように設定できます。IdPの保守はセキュリティチームが行います。サービスプロバイダ(SP)は、ユーザの認証とアクセスを制御するシステムです。アクセス管理にSAMLを設定すると、ストレージアレイがアイデンティティプロバイダに認証を要求するサービスプロバイダとして機能します。IdPとストレージアレイの間の接続を確立するには、この2つのエンティティ間でメタデータファイルを共有します。その後、IdPのユーザエンティティをストレージアレイのロールにマッピングします。最後に、接続とSSOログインをテストしたうえでSAMLを有効にします。

メモ
  • SAMLとディレクトリサービス*。認証方式としてディレクトリサービスを使用するように設定されている状況でSAMLを有効にした場合、System ManagerではSAMLがディレクトリサービスよりも優先されます。あとでSAMLを無効にすると、元の設定に戻ってディレクトリサービスが使用されます。

注意
  • SAMLを編集および無効化しています。* SAMLを有効にすると、ユーザインターフェイスで無効にすることはできず、IdP設定を編集することもできません。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。

SAML認証の設定は複数の手順からなる手順 です。

手順1:IdPのメタデータファイルをアップロードする

ストレージアレイにIdPの接続情報を提供するには、System ManagerにIdPのメタデータをインポートします。このメタデータは、IdPシステムが認証要求を正しいURLにリダイレクトし、受信した応答を検証するために必要です。コントローラが2台ある場合でも、アップロードするメタデータファイルはストレージアレイに対して1つだけです。

手順
  1. メニューを選択します。Settings [Access Management]。

  2. SAML *タブを選択します。

    設定手順の概要が表示されます。

  3. アイデンティティプロバイダ(IdP)ファイルのインポート*リンクをクリックします。

    アイデンティティプロバイダファイルのインポートダイアログボックスが開きます。

  4. Browse *をクリックして、ローカルシステムにコピーしたIdPメタデータファイルを選択してアップロードします。

    ファイルを選択すると、IdPのエンティティIDが表示されます。

  5. [* インポート * ] をクリックします。

手順2:サービスプロバイダのファイルをエクスポートする

IdPとストレージアレイの間の信頼関係を確立するために、サービスプロバイダのメタデータをIdPにインポートします。このメタデータは、IdPがコントローラとの間の信頼関係を確立し、許可要求を処理するために必要になります。このファイルには、コントローラのドメイン名やIPアドレスなど、IdPがサービスプロバイダと通信するために必要な情報が含まれています。

手順
  1. [サービスプロバイダファイルのエクスポート*]リンクをクリックします。

    [Export Service Provider Files]ダイアログボックスが開きます。

  2. コントローラのIPアドレスまたはDNS名を[コントローラA *]フィールドに入力し、[*エクスポート]をクリックしてメタデータファイルをローカルシステムに保存します。ストレージアレイにコントローラが2台ある場合は、2台目のコントローラの Controller B *フィールドでこの手順を繰り返します。

    「* Export」をクリックすると、サービスプロバイダのメタデータがローカルシステムにダウンロードされます。ファイルの保存先をメモします。

  3. ローカルシステムで、エクスポートしたサービスプロバイダのメタデータファイルを探します。

    コントローラごとにXML形式のファイルが1つあります。

  4. IdPサーバで、サービスプロバイダのメタデータファイルをインポートして信頼関係を確立します。ファイルを直接インポートすることも、ファイルからコントローラの情報を手動で入力することもできます。

手順3:ロールをマッピングする

System Managerに対する許可とアクセスをユーザに提供するには、IdPユーザ属性とグループメンバーシップをストレージアレイの事前定義されたロールにマッピングする必要があります。

作業を開始する前に
  • IdP管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。

  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。

手順
  1. マッピングSystem Manager *の役割のリンクをクリックします。

    ロールマッピング(Role Mapping)ダイアログボックスが開きます

  2. IdPユーザの属性とグループを事前定義されたロールに割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 説明

    マッピング

    ユーザー属性

    マッピングするSAMLグループの属性(「member of」など)を指定します。

    属性値

    マッピングするグループの属性値を指定します。正規表現がサポートされます。これらの特殊正規表現文字はバックスラッシュでエスケープする必要があります。 (\)正規表現パターンに含まれていない場合は、次のようにします。 \.[]{}()<>*+-=!?^$

    ロール

    フィールド内をクリックし、属性にマッピングするストレージアレイのロールを選択します。追加するロールを1つずつ選択する必要があります。MonitorロールはSystem Managerにログインするため必要なロールであり、他のロールと一緒に指定する必要があります。また、少なくとも1つのグループにSecurity Adminロールを割り当てる必要があります。

    各ロールの権限は次のとおりです。

    • * Storage admin *--ストレージ・オブジェクト(ボリュームやディスク・プールなど)への読み取り/書き込みのフル・アクセス。セキュリティ構成へのアクセスはありません。

    • * Security admin *--アクセス管理、証明書管理、監査ログ管理のセキュリティ構成へのアクセス、および従来の管理インターフェイス(SYMbol)のオン/オフの切り替え機能。

    • * Support admin *--ストレージアレイのすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。

    • *Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。

    メモ

    Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

  3. 必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。

    メモ

    ロールのマッピングは、SAMLを有効にしたあとに変更できます。

  4. マッピングが終了したら、*保存*をクリックします。

手順4:SSOログインをテストする

IdPシステムとストレージアレイが通信できることを確認するために、必要に応じてSSOログインをテストできます。このテストは、SAMLを有効にする最後の手順でも実行します。

作業を開始する前に
  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。

手順
  1. [Test SSO Login*]リンクを選択します。

    SSOクレデンシャルを入力するためのダイアログボックスが表示されます。

  2. Security AdminとMonitorの両方の権限を持つユーザのログインクレデンシャルを入力します。

    ログインのテストを実行している間、ダイアログボックスが開きます。

  3. テストに成功したことを示すメッセージを確認します。テストに成功した場合は、SAMLを有効にする次の手順に進みます。

    テストが正常に完了しない場合は、エラーメッセージに詳細が表示されます。次の点を確認してください。

    • ユーザがSecurity AdminとMonitorの権限を持つグループに属していること。

    • アップロードしたIdPサーバのメタデータが正しいこと。

    • SPメタデータファイル内のコントローラのアドレスが正しいこと。

手順5:SAMLを有効にする

最後に、ユーザ認証用のSAMLの設定を完了します。このプロセスでは、SSOログインのテストも求められます。SSOログインのテストプロセスについては、前の手順で説明したとおりです。

作業を開始する前に
  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。

  • 少なくともMonitorロールとSecurity Adminロールを1つずつマッピングしておきます。

注意
  • SAMLを編集および無効化しています。* SAMLを有効にすると、ユーザインターフェイスで無効にすることはできず、IdP設定を編集することもできません。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。

手順
  1. [* SAML ]タブで、[ SAMLを有効にする]リンクを選択します。

    [Confirm Enable SAML(SAMLを有効にする)]ダイアログボックスが開きます。

  2. を入力します `enable`をクリックし、*[有効化]*をクリックします。

  3. SSOログインのテスト用にユーザクレデンシャルを入力します。

結果

SAMLが有効になると、アクティブなセッションはすべて終了され、SAMLを使用したユーザの認証が開始されます。