SAMLを使用したアクセス管理
管理者は、アレイに組み込みのSecurity Assertion Markup Language(SAML)2.0の機能をアクセス管理に使用できます。
設定ワークフロー
SAMLの設定は次のように機能します。
-
Security Adminの権限を含むユーザプロファイルでSystem Managerにログインします。
この `admin`ユーザには、System Managerのすべての機能に対するフルアクセスが付与されます。
-
管理者は、[アクセス管理]の下の[*SAML *]タブに移動します。
-
アイデンティティプロバイダ(IdP)との通信を設定します。IdPは、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するための外部システムです。ストレージアレイとの通信を設定するには、IdPシステムからIdPメタデータファイルをダウンロードし、System Managerを使用してそのファイルをストレージアレイにアップロードします。
-
サービスプロバイダとIdPの間に信頼関係を確立します。サービスプロバイダはユーザ権限を制御します。このケースでは、ストレージアレイ内のコントローラがサービスプロバイダの役割を果たします。通信を設定するには、System Managerを使用して、各コントローラのサービスプロバイダメタデータファイルをエクスポートします。次に、IdPシステムからそれらのメタデータファイルをIdPにインポートします。
また、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。
-
ストレージアレイのロールをIdPで定義されているユーザ属性にマッピングします。これを行うには、管理者はSystem Managerを使用してマッピングを作成します。
-
IdP URLへのSSOログインをテストします。このテストでは、ストレージアレイとIdPが通信できることを確認します。
SAMLを有効にすると、ユーザインターフェイスで無効にしたり、IdP設定を編集したりすることはできなくなります。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。
-
System Managerから、ストレージアレイのSAMLを有効にします。
-
ユーザが自身のSSOクレデンシャルを使用してシステムにログインします。
管理
認証にSAMLを使用している場合、管理者は次の管理タスクを実行できます。
-
新しいロールマッピングを変更または作成する
-
サービスプロバイダファイルのエクスポート
アクセス制限
SAMLが有効になっている場合、ユーザはUnified Managerや従来のStorage Managerインターフェイスからそのアレイのストレージを検出または管理できません。
また、次のクライアントはストレージアレイのサービスとリソースにアクセスできません。
-
Enterprise Management Window(EMW)
-
コマンドラインインターフェイス(CLI)
-
ソフトウェア開発キット(SDK)クライアント
-
インバンドクライアント
-
HTTPベーシック認証REST APIクライアント
-
標準のREST APIエンドポイントを使用したログイン