ONTAP で OAuth 2.0 または SAML IdP グループを使用する
変更を提案
PDF
ONTAPは、OAuth 2.0認証サーバーまたはSAMLアイデンティティプロバイダー(IdP)に基づいてグループを設定するための複数のオプションを提供しています。その後、グループはONTAPがアクセスを決定するために使用するロールにマッピングされます。
ONTAP 9.17.1以降、SAML IdPが提供するグループ情報をONTAPロールにマッピングできます。これにより、IdPで定義されたグループに基づいてユーザーにロールを割り当てることができます。詳細については、"SAML 認証の設定"を参照してください。ONTAP 9.14.1以降、ONTAPはOAuth 2.0のグループ名認証をサポートしています。ONTAP 9.16.1以降、ONTAPはOAuth 2.0のグループUUID認証とロールマッピングをサポートしています。詳細については、"ONTAP OAuth 2.0導入の概要"を参照してください。
グループの識別方法
認可サーバまたはSAML IdPでグループを設定すると、名前またはUUIDを使用してOAuth 2.0アクセストークンまたはSAMLアサーションで識別され、送信されます。ONTAPを設定する前に、認可サーバまたはSAML IdPがグループをどのように処理するかを把握しておく必要があります。
|
アクセス トークンに複数のグループが含まれている場合、ONTAPは一致するまで各グループの使用を試みます。 |
グループ名
Active Directory フェデレーションサービス(ADFS)をはじめとする多くの認可サーバーと SAML IdPsは、グループを名前で識別・表現します。以下は、ADFS によって生成された、複数のグループを含む JSON OAuth 2.0 アクセストークンの一部です。詳細については、名前でグループを管理するをご覧ください。
...
"sub": "User1_TestDev@NICAD5.COM",
"group": [
"NICAD5\\Domain Users",
"NICAD5\\Development Group",
"NICAD5\\Production Group"
],
"apptype": "Confidential",
"appid": "3bff3b2b-8e40-44ba-7c11-d73c3b76e3e8",
...
グループUUID
Microsoft Entra IDなどの一部の認可サーバーとSAML IdPsは、UUIDを使用してグループを識別および表現します。以下は、Entra IDによって生成された、複数のグループを含むOAuth 2.0アクセストークンの一部です。詳細については、UUIDでグループを管理するをご覧ください。
...
"appid": "4aff4b4b-8e40-44ba-7c11-d73c3b76e3d7",
"appidacr": "1",
"groups": [
"8ea4c5b0-bcad-4e66-8f1e-cd395474a448",
"a8558fc2-a1b2-4cb7-cc41-59bd831840cc"],
"name": "admin007 with group membership",
...
名前でグループを管理する
認可サーバーまたはSAML IdPがグループを識別するために名前を使用している場合は、各グループがONTAPクラスタに定義されていることを確認する必要があります。セキュリティ環境によっては、グループが既に定義されている場合があります。
ONTAPグループを定義するCLIコマンドの例を以下に示します。サンプルアクセストークンから取得した名前付きグループを使用していることに注意してください。このコマンドを実行するには、ONTAPの*admin*権限レベルが必要です。
security login create -user-or-group-name "NICAD5\\Domain Users" -application http -authentication-method domain -role admin
SAML IdP および OAuth 2.0 認証サーバー グループには -authentication-method `domain`または `nsswitch`を使用します。
|
|
ONTAP REST APIを使用してこの機能を設定することもできます。 "ONTAP自動化ドキュメント"で詳細をご覧ください。 |
UUIDでグループを管理する
認可サーバまたはSAML IdPがUUID値を使用してグループを表す場合、グループを使用する前に2段階の設定を行う必要があります。ONTAP 9.16.1以降では、2つのマッピング機能が利用可能になり、Entra IDでテストされています。OAuth 2.0用のEntra IDはONTAP 9.16.1以降、SAML用のEntra IDはONTAP 9.17.1以降でサポートされています。CLIコマンドを実行するには、ONTAPの*admin*権限レベルである必要があります。
|
|
これらの機能は、ONTAP REST APIを使用して設定することもできます。詳細については、 "ONTAP自動化ドキュメント"をご覧ください。 |
グループUUIDをグループ名にマッピングする
UUID値を使用してグループを表す認証サーバまたはSAML IdPを使用している場合は、グループUUIDをグループ名にマッピングする必要があります。主なONTAP CLI操作については以下で説明します。
作成
`security login group create`コマンドを使用して、新しいグループマッピング設定を定義できます。グループのUUIDと名前は、認可サーバーまたはSAML IdPの設定と一致する必要があります。link:https://docs.netapp.com/us-en/ontap-cli/security-login-group-create.html["ONTAPコマンド リファレンス"^]での `security login group create`の詳細をご覧ください。
グループ マッピングの作成に使用するパラメータを以下に示します。
| パラメータ | 概要 |
|---|---|
|
必要に応じて、グループを関連付けるStorage Virtual Machine(SVM)の名前を指定します。省略すると、グループはONTAPクラスタに関連付けられます。 |
|
ONTAPが使用するグループの一意の名前。 |
|
この値は、グループのソースであるアイデンティティ プロバイダを示します。 |
|
認可サーバーまたは SAML IdP によって提供されるグループのユニバーサル一意識別子を指定します。 |
ONTAP のグループを定義する CLI コマンドの例を次に示します。サンプルアクセストークンの UUID グループを使用していることに注意してください。
security login group create -vserver ontap-cls-1 -name IAM_Dev -type entra -uuid 8ea4c5b0-bcad-4e66-8f1e-cd395474a448
グループを作成すると、グループに対して一意の読み取り専用の整数の識別子が生成されます。
その他のCLI処理
このコマンドでは、次のような追加の処理がサポートされます。
-
表示
-
変更
-
削除
`show`オプションを使用して、グループに対して生成された一意のグループIDを取得できます。link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=show["ONTAPコマンド リファレンス"^]の `show`の詳細をご覧ください。
グループUUIDをロールにマッピングする
UUID値を使用してグループを表す認可サーバまたはSAML IdPを使用している場合は、グループをロールにマッピングできます。ONTAPにおけるロールベースアクセス制御の詳細については、"ONTAPアクセス制御ロールの管理について学ぶ"を参照してください。主なONTAP CLI操作については以下で説明します。コマンドを実行するには、ONTAPの*admin*権限レベルである必要があります。
|
|
まずグループUUIDをグループ名にマッピングする、グループに対して生成された一意の整数IDを取得する必要があります。このIDは、グループをロールにマッピングするために必要になります。 |
作成
`security login group role-mapping create`コマンドを使用して、新しいロールマッピングを定義できます。link:https://docs.netapp.com/us-en/ontap-cli/security-login-group-role-mapping-create.html["ONTAPコマンド リファレンス"^]の `security login group role-mapping create`の詳細をご覧ください。
グループをロールにマッピングするために使用するパラメータを以下に示します。
| パラメータ | 概要 |
|---|---|
|
コマンド `security login group create`を使用してグループに対して生成された一意の ID を指定します。 |
|
グループのマッピング先のONTAPロールの名前。 |
security login group role-mapping create -group-id 1 -role admin
その他のCLI処理
このコマンドでは、次のような追加の処理がサポートされます。
-
表示
-
変更
-
削除
この手順で説明されているコマンドの詳細については、"ONTAPコマンド リファレンス"を参照してください。