Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SAMLの設定

共同作成者

アクセス管理用の認証を設定するには、ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用できます。この設定により、アイデンティティプロバイダとストレージプロバイダの間の接続が確立されます。

開始する前に
  • Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。

  • ストレージアレイの各コントローラのIPアドレスまたはドメイン名を確認しておく必要があります。

  • IdP管理者がIdPシステムの設定を完了している必要があります。

  • IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。

  • IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。

  • IdPのメタデータファイルをIdPシステムからダウンロードし、System Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。

タスクの内容

アイデンティティプロバイダ(IdP)は、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するために使用される外部のシステムです。多要素認証を提供し、Active Directoryなどの任意のユーザデータベースを使用するようにIdPを設定できます。IdPの保守はセキュリティチームが行います。サービスプロバイダ(SP)は、ユーザの認証とアクセスを制御するシステムです。アクセス管理にSAMLが設定されている場合、ストレージアレイはアイデンティティプロバイダに認証を要求するサービスプロバイダとして機能します。IdPとストレージアレイの間の接続を確立するには、この2つのエンティティ間でメタデータファイルを共有します。次に、IdPのユーザエンティティをストレージアレイのロールにマッピングします。最後に、接続とSSOログインをテストしたうえでSAMLを有効にします。

メモ
  • SAMLとディレクトリサービス*。認証方式としてディレクトリサービスを使用するように設定されている状況でSAMLを有効にした場合、System ManagerではSAMLがディレクトリサービスよりも優先されます。SAMLをあとで無効にすると、ディレクトリサービスの設定は以前の設定に戻ります。

注意

*編集と無効化。*SAMLを有効にすると、ユーザインターフェイスで無効にしたり、IdP設定を編集したりすることはできなくなります。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。

SAML認証の設定は複数の手順で構成されます。

手順1:IdPのメタデータファイルをアップロードする

ストレージアレイにIdPの接続情報を提供するには、System ManagerにIdPのメタデータをインポートします。このメタデータは、IdPシステムが認証要求を正しいURLにリダイレクトし、受信した応答を検証するために必要です。コントローラが2台ある場合でも、アップロードするメタデータファイルはストレージアレイに対して1つだけです。

手順
  1. メニューを選択します。Settings [Access Management]。

  2. SAML *タブを選択します。

    設定手順の概要が表示されます。

  3. アイデンティティプロバイダ(IdP)ファイルのインポート*リンクをクリックします。

    [Import Identity Provider File]ダイアログボックスが開きます。

  4. Browse *をクリックして、ローカルシステムにコピーしたIdPメタデータファイルを選択してアップロードします。

    ファイルを選択すると、IdPのエンティティIDが表示されます。

  5. [* インポート * ] をクリックします。

手順2:サービスプロバイダのファイルをエクスポートする

IdPとストレージアレイの間の信頼関係を確立するには、サービスプロバイダのメタデータをIdPにインポートします。このメタデータは、IdPがコントローラとの間の信頼関係を確立し、許可要求を処理するために必要になります。このファイルには、IdPがサービスプロバイダと通信できるように、コントローラのドメイン名やIPアドレスなどの情報が含まれています。

手順
  1. [サービスプロバイダファイルのエクスポート*]リンクをクリックします。

    [サービスプロバイダファイルのエクスポート]ダイアログボックスが開きます。

  2. コントローラのIPアドレスまたはDNS名を[コントローラA *]フィールドに入力し、[*エクスポート]をクリックしてメタデータファイルをローカルシステムに保存します。ストレージアレイにコントローラが2台ある場合は、2台目のコントローラの Controller B *フィールドでこの手順を繰り返します。

    「* Export」をクリックすると、サービスプロバイダのメタデータがローカルシステムにダウンロードされます。ファイルが保存されている場所をメモします。

  3. ローカルシステムで、エクスポートしたサービスプロバイダメタデータファイルを探します。

    コントローラごとにXML形式のファイルが1つあります。

  4. IdPサーバから、サービスプロバイダのメタデータファイルをインポートして信頼関係を確立します。ファイルを直接インポートすることも、ファイルからコントローラの情報を手動で入力することもできます。

手順3:ロールをマッピングする

System Managerに対する許可とアクセスをユーザに提供するには、IdPユーザ属性とグループメンバーシップをストレージアレイの事前定義されたロールにマッピングする必要があります。

開始する前に
  • IdP管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。

  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立します。

手順
  1. マッピングSystem Manager *の役割のリンクをクリックします。

    ロールマッピング(Role Mapping)ダイアログボックスが開きます

  2. IdPユーザの属性とグループを事前定義されたロールに割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 製品説明

    マッピング

    ユーザ属性

    マッピングするSAMLグループの属性(「member of」など)を指定します。

    属性値

    マッピングするグループの属性値を指定します。正規表現がサポートされています。(`\`正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュでエスケープする必要があります。\.[]{}()<>*+-=!?^$

    役割

    フィールド内をクリックし、属性にマッピングするストレージアレイのロールを1つ選択します。含めるロールをそれぞれ個別に選択する必要があります。MonitorロールはSystem Managerにログインするため必要なロールであり、他のロールと一緒に指定する必要があります。少なくとも1つのグループにはSecurity Adminロールも必要です。

    各ロールの権限は次のとおりです。

    • * Storage admin *--ストレージ・オブジェクト(ボリュームやディスク・プールなど)への読み取り/書き込みのフル・アクセス。セキュリティ構成へのアクセスはありません。

    • * Security admin *--アクセス管理、証明書管理、監査ログ管理のセキュリティ構成へのアクセス、および従来の管理インターフェイス(SYMbol)のオン/オフの切り替え機能。

    • * Support admin *--ストレージアレイのすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。

    • *Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。

    メモ

    Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

  3. 必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。

    メモ

    ロールのマッピングは、SAMLを有効にしたあとに変更できます。

  4. マッピングが終了したら、*保存*をクリックします。

手順4:SSOログインをテストする

IdPシステムとストレージアレイが通信できることを確認するために、必要に応じてSSOログインをテストできます。このテストは、SAMLを有効にする最後の手順でも実行します。

開始する前に
  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立します。

手順
  1. [Test SSO Login*]リンクを選択します。

    SSOクレデンシャルを入力するためのダイアログボックスが開きます。

  2. Security AdminとMonitorの両方の権限を持つユーザのログインクレデンシャルを入力します。

    ログインのテスト中は、ダイアログボックスが開きます。

  3. テストに成功したことを示すメッセージを確認します。テストに成功した場合は、SAMLを有効にする次の手順に進みます。

    テストが正常に完了しなかった場合は、エラーメッセージと詳細情報が表示されます。次の点を確認してください。

    • ユーザがSecurity AdminとMonitorの権限を持つグループに属していること。

    • アップロードしたIdPサーバのメタデータが正しいこと。

    • SPメタデータファイル内のコントローラアドレスが正しい。

手順5:SAMLを有効にする

最後に、ユーザ認証用のSAMLの設定を完了します。このプロセスでは、SSOログインのテストも求められます。SSOログインのテストプロセスについては、前の手順で説明しています。

開始する前に
  • IdPのメタデータファイルをSystem Managerにインポートしておきます。

  • 各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立します。

  • 少なくともMonitorロールとSecurity Adminロールを1つずつマッピングしておきます。

注意

*編集と無効化。*SAMLを有効にすると、ユーザインターフェイスで無効にしたり、IdP設定を編集したりすることはできなくなります。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。

手順
  1. [* SAML ]タブで、[ SAMLを有効にする]リンクを選択します。

    [SAMLの有効化の確認]ダイアログボックスが開きます。

  2. と入力し enable、*[有効化]*をクリックします。

  3. SSOログインテスト用のユーザクレデンシャルを入力します。

結果

SAMLが有効になると、アクティブなセッションはすべて終了され、SAMLを使用したユーザの認証が開始されます。