SAMLを設定する
アクセス管理の認証を設定する場合、ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用することができます。この設定により、アイデンティティプロバイダとストレージプロバイダの間の接続が確立されます。
-
Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、アクセス管理機能は表示されません。
-
ストレージアレイの各コントローラのIPアドレスまたはドメイン名を確認しておく必要があります。
-
IdP管理者がIdPシステムの設定を完了している必要があります。
-
IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。
-
IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。
-
IdPのメタデータファイルをIdPシステムからダウンロードし、System Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。
アイデンティティプロバイダ(IdP)は、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するために使用される外部のシステムです。多要素認証にも対応し、Active Directoryなどの任意のユーザデータベースを使用するように設定できます。IdPの保守はセキュリティチームが行います。サービスプロバイダ(SP)は、ユーザの認証とアクセスを制御するシステムです。アクセス管理にSAMLを設定すると、ストレージアレイがアイデンティティプロバイダに認証を要求するサービスプロバイダとして機能します。IdPとストレージアレイの間の接続を確立するには、この2つのエンティティ間でメタデータファイルを共有します。その後、IdPのユーザエンティティをストレージアレイのロールにマッピングします。最後に、接続とSSOログインをテストしたうえでSAMLを有効にします。
|
|
SAML認証の設定は複数の手順からなる手順 です。
手順1:IdPのメタデータファイルをアップロードする
ストレージアレイにIdPの接続情報を提供するには、System ManagerにIdPのメタデータをインポートします。このメタデータは、IdPシステムが認証要求を正しいURLにリダイレクトし、受信した応答を検証するために必要です。コントローラが2台ある場合でも、アップロードするメタデータファイルはストレージアレイに対して1つだけです。
-
メニューを選択します。Settings [Access Management]。
-
SAML *タブを選択します。
設定手順の概要が表示されます。
-
アイデンティティプロバイダ(IdP)ファイルのインポート*リンクをクリックします。
アイデンティティプロバイダファイルのインポートダイアログボックスが開きます。
-
Browse *をクリックして、ローカルシステムにコピーしたIdPメタデータファイルを選択してアップロードします。
ファイルを選択すると、IdPのエンティティIDが表示されます。
-
[* インポート * ] をクリックします。
手順2:サービスプロバイダのファイルをエクスポートする
IdPとストレージアレイの間の信頼関係を確立するために、サービスプロバイダのメタデータをIdPにインポートします。このメタデータは、IdPがコントローラとの間の信頼関係を確立し、許可要求を処理するために必要になります。このファイルには、コントローラのドメイン名やIPアドレスなど、IdPがサービスプロバイダと通信するために必要な情報が含まれています。
-
[サービスプロバイダファイルのエクスポート*]リンクをクリックします。
[Export Service Provider Files]ダイアログボックスが開きます。
-
コントローラのIPアドレスまたはDNS名を[コントローラA *]フィールドに入力し、[*エクスポート]をクリックしてメタデータファイルをローカルシステムに保存します。ストレージアレイにコントローラが2台ある場合は、2台目のコントローラの Controller B *フィールドでこの手順を繰り返します。
「* Export」をクリックすると、サービスプロバイダのメタデータがローカルシステムにダウンロードされます。ファイルの保存先をメモします。
-
ローカルシステムで、エクスポートしたサービスプロバイダのメタデータファイルを探します。
コントローラごとにXML形式のファイルが1つあります。
-
IdPサーバで、サービスプロバイダのメタデータファイルをインポートして信頼関係を確立します。ファイルを直接インポートすることも、ファイルからコントローラの情報を手動で入力することもできます。
手順3:ロールをマッピングする
System Managerに対する許可とアクセスをユーザに提供するには、IdPユーザ属性とグループメンバーシップをストレージアレイの事前定義されたロールにマッピングする必要があります。
-
IdP管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。
-
IdPのメタデータファイルをSystem Managerにインポートしておきます。
-
各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。
-
マッピングSystem Manager *の役割のリンクをクリックします。
ロールマッピング(Role Mapping)ダイアログボックスが開きます
-
IdPユーザの属性とグループを事前定義されたロールに割り当てます。1つのグループに複数のロールを割り当てることができます。
フィールドの詳細
設定 説明 マッピング
ユーザー属性
マッピングするSAMLグループの属性(「member of」など)を指定します。
属性値
マッピングするグループの属性値を指定します。正規表現がサポートされます。正規表現パターンの一部でない場合は、これらの特殊な正規表現文字をバックスラッシュ(「\」)でエスケープする必要があります
ロール
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。
-
必要に応じて、*別のマッピングを追加*をクリックして、グループとロールのマッピングをさらに入力します。
ロールのマッピングは、SAMLを有効にしたあとに変更できます。
-
マッピングが終了したら、*保存*をクリックします。
手順4:SSOログインをテストする
IdPシステムとストレージアレイが通信できることを確認するために、必要に応じてSSOログインをテストできます。このテストは、SAMLを有効にする最後の手順でも実行します。
-
IdPのメタデータファイルをSystem Managerにインポートしておきます。
-
各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。
-
[Test SSO Login*]リンクを選択します。
SSOクレデンシャルを入力するためのダイアログボックスが表示されます。
-
Security AdminとMonitorの両方の権限を持つユーザのログインクレデンシャルを入力します。
ログインのテストを実行している間、ダイアログボックスが開きます。
-
テストに成功したことを示すメッセージを確認します。テストに成功した場合は、SAMLを有効にする次の手順に進みます。
テストが正常に完了しない場合は、エラーメッセージに詳細が表示されます。次の点を確認してください。
-
ユーザがSecurity AdminとMonitorの権限を持つグループに属していること。
-
アップロードしたIdPサーバのメタデータが正しいこと。
-
SPメタデータファイル内のコントローラのアドレスが正しいこと。
-
手順5:SAMLを有効にする
最後に、ユーザ認証用のSAMLの設定を完了します。このプロセスでは、SSOログインのテストも求められます。SSOログインのテストプロセスについては、前の手順で説明したとおりです。
-
IdPのメタデータファイルをSystem Managerにインポートしておきます。
-
各コントローラのサービスプロバイダメタデータファイルをIdPシステムにインポートして信頼関係を確立しておきます。
-
少なくともMonitorロールとSecurity Adminロールを1つずつマッピングしておきます。
|
-
[* SAML ]タブで、[ SAMLを有効にする]リンクを選択します。
[Confirm Enable SAML(SAMLを有効にする)]ダイアログボックスが開きます。
-
「enable」と入力し、「* Enable」をクリックします。
-
SSOログインのテスト用にユーザクレデンシャルを入力します。
SAMLが有効になると、アクティブなセッションはすべて終了され、SAMLを使用したユーザの認証が開始されます。