Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System ManagerでSAMLを設定

PDF

アクセス管理の認証を設定する場合、ストレージ アレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用することができます。認証を設定すると、アイデンティティ プロバイダとストレージ プロバイダの間の接続が確立されます。

開始する前に

  • Security Adminの権限を含むユーザ プロファイルでログインする必要があります。そうしないと、アクセス管理の機能は表示されません。

  • ストレージ アレイの各コントローラのIPアドレスまたはドメイン名を確認しておく必要があります。

  • IdP管理者がIdPシステムの設定を完了している必要があります。

  • IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。

  • IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。

  • IdPメタデータファイルはIdPシステムからダウンロードされ、System Managerへのアクセスに使用されるローカルシステム上で利用可能になります。

タスク概要

IDプロバイダー(IdP)とは、ユーザーから認証情報を要求し、そのユーザーが正常に認証されたかどうかを判断するために使用される外部システムです。IdPは、多要素認証を提供するように構成でき、Active Directoryなどの任意のユーザーデータベースを利用できます。セキュリティチームは、IDプロバイダー(IdP)の維持管理を担当します。サービスプロバイダー(SP)は、ユーザ認証とアクセスを制御するシステムです。アクセス管理がSAMLで構成されている場合、ストレージアレイは、IDプロバイダーに認証を要求するためのサービスプロバイダーとして機能します。IdPとストレージアレイ間の接続を確立するには、これら2つのエンティティ間でメタデータファイルを共有します。次に、IdPユーザーエンティティをストレージアレイの役割にマッピングします。最後に、SAMLを有効にする前に、接続とSSOログインのテストを行います。

メモ

  • SAML およびDirectory Services *Directory Servicesが認証方法として設定されている場合にSAMLを有効にすると、System ManagerではSAMLがDirectory Servicesよりも優先されます。後でSAMLを無効にすると、Directory Servicesの設定は以前の設定に戻ります。
注意

*編集と無効化*SAMLを有効にすると、ユーザインターフェイスから無効にすることはできませんし、IdPの設定を編集することもできません。SAML設定を無効化または編集する必要がある場合は、テクニカルサポートにお問い合わせください。

SAML認証の設定プロセスは複数の手順で構成されます。

ステップ1:IdPメタデータファイルをアップロードする

ストレージアレイにIdP接続情報を提供するには、IdPメタデータをSystem Managerにインポートします。IdPシステムは、認証要求を正しいURLにリダイレクトし、受信した応答を検証するために、このメタデータを必要とします。ストレージアレイには、コントローラが2つあっても、メタデータファイルは1つだけアップロードすれば十分です。

手順

  1. メニューの「設定」→「アクセス管理」を選択します。

  2. * SAML * タブを選択します。

    設定手順の概要が表示されます。

  3. * Import Identity Provider(IdP)file *リンクをクリックします。

    [アイデンティティ プロバイダ ファイルのインポート]ダイアログ ボックスが開きます。

  4. * Browse * をクリックして、ローカルシステムにコピーした IdP メタデータファイルを選択してアップロードします。

    ファイルを選択すると、IdPのエンティティIDが表示されます。

  5. *インポート*をクリックします。

ステップ2:Service Providerファイルのエクスポート

IdPとストレージ アレイの間の信頼関係を確立するために、サービス プロバイダのメタデータをIdPにインポートします。このメタデータは、IdPがコントローラとの間の信頼関係を確立し、許可要求を処理するために必要になります。このファイルには、コントローラのドメイン名やIPアドレスなど、IdPがサービス プロバイダと通信するために必要な情報が含まれています。

手順

  1. * Export Service Provider files * リンクをクリックします。

    [サービス プロバイダ ファイルのエクスポート]ダイアログ ボックスが開きます。

  2. *コントローラA*フィールドにコントローラのIPアドレスまたはDNS名を入力し、*エクスポート*をクリックしてメタデータファイルをローカルシステムに保存します。ストレージアレイに2つのコントローラが含まれている場合は、*コントローラB*フィールドで2つ目のコントローラについてこの手順を繰り返します。

    Export をクリックすると、Service Provider メタデータがローカルシステムにダウンロードされます。ファイルの保存場所をメモしておいてください。

  3. ローカル システムで、エクスポートしたサービス プロバイダのメタデータ ファイルを探します。

    コントローラごとにXML形式のファイルが1つあります。

  4. IdPサーバで、サービス プロバイダのメタデータ ファイルをインポートして信頼関係を確立します。ファイルを直接インポートすることも、ファイルからコントローラの情報を手動で入力することもできます。

手順3:ロールをマッピングする

ユーザにSystem Managerへの認証とアクセス権を付与するには、IdPのユーザ属性とグループメンバーシップをストレージアレイの事前定義されたロールにマッピングする必要があります。

開始する前に

  • IdP管理者が、IdPシステムでユーザの属性とグループ メンバーシップを設定しておく必要があります。

  • IdPメタデータファイルがSystem Managerにインポートされます。

  • 各コントローラのサービス プロバイダ メタデータ ファイルをIdPシステムにインポートして信頼関係を確立しておきます。

手順

  1. System Manager ロールのマッピングについては、リンクをクリックしてください。

    ロールマッピングダイアログボックスが開きます。

  2. IdPユーザの属性とグループを事前定義されたロールに割り当てます。1つのグループに複数のロールを割り当てることができます。

    フィールドの詳細
    設定 概要

    マッピング

    ユーザ属性

    マッピングするSAMLグループの属性(「member of」など)を指定します。

    属性値

    マッピングするグループの属性値を指定します。正規表現がサポートされています。正規表現パターンの一部でない場合は、次の特殊な正規表現文字をバックスラッシュ(`\`でエスケープする必要があります:\.[]{}()<>*+-=!?^$

    ロール

    フィールドをクリックして、属性にマッピングするストレージアレイのロールを1つ選択します。含めたい各ロールを個別に選択する必要があります。System Managerにログインするには、他のロールと組み合わせてMonitorロールが必要です。Security Adminロールは、少なくとも1つのグループに対しても必要です。

    各ロールの権限は次のとおりです。

    • * Storage admin * — ストレージオブジェクト(ボリュームやディスクプールなど)へのフル読み取り / 書き込みアクセスは可能ですが、セキュリティ構成へのアクセスはできません。

    • Security admin — Access Managementのセキュリティ設定、証明書管理、監査ログ管理へのアクセス、およびレガシー管理インターフェイス(SYMbol)のオン/オフを切り替える機能。

    • サポート管理者 — ストレージアレイ上のすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアのアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定へのアクセス権はありません。

    • Monitor — すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ構成へのアクセスはできません。
    メモ

    Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

  3. 必要に応じて、*別のマッピングを追加*をクリックして、グループと役割のマッピングをさらに入力してください。

    メモ

    ロールのマッピングは、SAMLを有効にしたあとに変更できます。

  4. マッピングが完了したら、*保存*をクリックします。

ステップ4:SSOログインのテスト

IdPシステムとストレージ アレイが通信できることを確認するために、必要に応じてSSOログインをテストできます。このテストは、SAMLを有効にする最後の手順でも実行します。

開始する前に

  • IdPメタデータファイルがSystem Managerにインポートされます。

  • 各コントローラのサービス プロバイダ メタデータ ファイルをIdPシステムにインポートして信頼関係を確立しておきます。

手順

  1. *Test SSO Login*リンクを選択します。

    SSOクレデンシャルの入力を求めるダイアログ ボックスが開きます。

  2. Security AdminとMonitorの両方の権限を持つユーザのログイン クレデンシャルを入力します。

    ログインのテストを実行中であることを示すダイアログ ボックスが開きます。

  3. テストに成功したことを示すメッセージを確認します。テストに成功した場合は、SAMLを有効にする次の手順に進みます。

    テストに失敗した場合は、エラー メッセージに詳細が表示されます。次の点を確認してください。

    • ユーザがSecurity AdminとMonitorの権限を持つグループに属していること。

    • アップロードしたIdPサーバのメタデータが正しいこと。

    • SPメタデータ ファイル内のコントローラのアドレスが正しいこと。

ステップ5:SAMLを有効にする

最後に、ユーザ認証用のSAMLの設定を完了します。このプロセスでは、SSOログインのテストも求められます。SSOログインのテスト プロセスについては、前の手順で説明したとおりです。

開始する前に

  • IdPメタデータファイルがSystem Managerにインポートされます。

  • 各コントローラのサービス プロバイダ メタデータ ファイルをIdPシステムにインポートして信頼関係を確立しておきます。

  • 少なくともMonitorロールとSecurity Adminロールを1つずつマッピングしておきます。

注意

*編集と無効化*SAMLを有効にすると、ユーザインターフェイスから無効にすることはできませんし、IdPの設定を編集することもできません。SAML設定を無効化または編集する必要がある場合は、テクニカルサポートにお問い合わせください。
手順

  1. SAML タブから、 Enable SAML リンクを選択します。

    [SAML の有効化の確認]ダイアログ ボックスが開きます。

  2. 入力 `enable`し、*有効にする*をクリックします。

  3. SSOログインのテスト用にユーザ クレデンシャルを入力します。

結果

SAMLが有効になると、アクティブなセッションはすべて終了され、SAMLを使用したユーザの認証が開始されます。