SAMLを設定および有効にするときは、どのような点に注意する必要がありますか?
認証のためにSecurity Assertion Markup Language(SAML)の機能を設定して有効にする前に、次の要件を満たしていることを確認し、SAMLの制限事項を理解しておきます。
要件
作業を開始する前に、次の点を確認してください。
-
ネットワークにアイデンティティプロバイダ(IdP)を設定しておきます。IdPは、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するための外部システムです。IdPの保守はセキュリティチームが行います。
-
IdP管理者が、IdPシステムでユーザ属性とユーザグループを設定しておく必要があります。
-
IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。
-
IdPサーバとコントローラのクロックが同期されていることを確認しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。
-
IdPのメタデータファイルをIdPシステムからダウンロードし、Unified Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。
-
ストレージアレイのコントローラのIPアドレスまたはドメイン名を確認しておきます。
制限事項
上記の要件に加えて、次の制限事項を理解しておく必要があります。
-
SAMLを有効にすると、ユーザインターフェイスで無効にしたり、IdP設定を編集したりすることはできなくなります。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。最後の設定手順でSAMLを有効にする前に、SSOログインをテストすることを推奨します。(SSOログインテストはSAMLが有効になる前にシステムでも実行されます)。
-
あとでSAMLを無効にすると、以前の設定(ローカルユーザロール、ディレクトリサービス、またはその両方)が自動的にリストアされます。
-
現在ユーザ認証にディレクトリサービスが設定されている場合は、SAMLによって上書きされます。
-
SAMLを設定すると、次のクライアントがストレージアレイリソースにアクセスできなくなります。
-
Enterprise Management Window(EMW)
-
コマンドラインインターフェイス( CLI )
-
ソフトウェア開発キット(SDK)クライアント
-
インバンドクライアント
-
HTTPベーシック認証REST APIクライアント
-
標準のREST APIエンドポイントを使用してログインします
-