SAML認証の設定
変更を提案
PDF
ONTAP 9 .3以降では、WebサービスにSecurity Assertion Markup Language(SAML)認証を設定できます。SAML認証を設定して有効にすると、Active DirectoryやLDAPなどのディレクトリサービスプロバイダではなく、外部のアイデンティティプロバイダ(IdP)によってユーザが認証されます。
SAML認証を有効にする
System ManagerまたはCLIを使用してSAML認証を有効にするには、次の手順を実行します。クラスタでONTAP 9.7以前が実行されている場合は、System Managerで実行する手順が異なります。使用しているシステムで利用可能なSystem Managerのオンライン ヘルプを参照してください。
|
SAML認証を有効にした場合、System ManagerのGUIにアクセスできるのはリモート ユーザだけです。ローカル ユーザはSystem ManagerのGUIにアクセスできません。 |
-
リモート認証に使用するIdPを設定しておく必要があります。
設定したIdPから提供されたドキュメントを参照してください。
-
IdPのURIが必要です。
-
SAML認証は、アプリケーションと `ontapi`アプリケーションにのみ適用され `http`ます。
`http`アプリケーションと `ontapi`アプリケーションは、Webサービス(サービスプロセッサインフラ、ONTAP API、またはSystem Manager)で使用されます。
-
SAML認証は、管理SVMへのアクセスでのみ使用できます。
次のIdPがSystem Managerで検証されました。
-
Active Directoryフェデレーションサービス
-
Cisco Duo(次のONTAPバージョンで検証済み)
-
9.7P21以降の9.7リリース(を参照 "System Managerのクラシックドキュメント")
-
9.8P17以降の9.8リリース
-
9.9.1P13以降の9.9リリース
-
9.10.1P9以降の9.10リリース
-
9.11.1P4以降の9.11リリース
-
9.12.1以降のリリース
-
-
Shibboleth
環境に応じて、次の手順を実行します。
-
[クラスタ]>[設定]*をクリックします。
-
[SAML認証]*の横にあるをクリックします
。 -
SAML 認証を有効にする * チェックボックスがオンになっていることを確認します。
-
IdP URIのURL(を含む"https://")を入力します。
-
必要に応じて、ホストシステムのアドレスを変更します。
-
正しい証明書が使用されていることを確認します。
-
システムに「サーバ」タイプの証明書が1つだけ適用されている場合、その証明書はデフォルトとみなされ、画面には表示されません。
-
システムに「サーバ」タイプの証明書が複数適用されている場合は、そのうちの1つが表示されます。別の証明書を選択するには、 * Change * をクリックします。
-
-
[ 保存( Save ) ] をクリックします。確認ウィンドウにメタデータ情報が表示され、クリップボードに自動的にコピーされます。
-
指定したIdPシステムに移動し、クリップボードからメタデータをコピーしてシステムのメタデータを更新します。
-
確認ウィンドウ( System Manager )に戻り、チェックボックスをオンにします。 * ホスト URI またはメタデータで IdP を設定しました。 *
-
Logout * をクリックして、 SAML ベースの認証を有効にします。IdPシステムに認証画面が表示されます。
-
IdPシステムで、SAMLベースのクレデンシャルを入力します。クレデンシャルが検証されると、System Managerのホームページが表示されます。
-
SAML設定を作成して、ONTAPからIdPメタデータにアクセスできるようにします。
security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name`idp_uri`は、IdPメタデータのダウンロード元のIdPホストのFTPアドレスまたはHTTPアドレスです。
`ontap_host_name`は、SAMLサービスプロバイダホスト(ここではONTAPシステム)のホスト名またはIPアドレスです。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。
必要に応じて、ONTAPサーバ証明書の情報を指定できます。デフォルトでは、ONTAP Webサーバ証明書情報が使用されます。
cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 179] Job succeeded: Access the SAML SP metadata using the URL: https://10.0.0.1/saml-sp/Metadata Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.ONTAPホストメタデータにアクセスするためのURLが表示されます。
-
IdPホストで、ONTAPホストメタデータを使用してIdPを設定します。
IdPの設定の詳細については、IdPのドキュメントを参照してください。
-
SAMLの設定を有効にします。
security saml-sp modify -is-enabled trueまたは
ontapi`アプリケーションにアクセスする既存のユーザには `http、SAML認証が自動的に設定されます。 -
SAMLの設定後にまたは
ontapi`アプリケーションのユーザを作成する場合は `http、新しいユーザの認証方式としてSAMLを指定します。-
SAML認証を使用して新しいユーザのログイン方法を作成します。+
security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_namecluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12
-
ユーザエントリが作成されたことを確認します。
security login show
cluster_12::> security login show Vserver: cluster_12 Second User/Group Authentication Acct Authentication Name Application Method Role Name Locked Method -------------- ----------- ------------- ---------------- ------ -------------- admin console password admin no none admin http password admin no none admin http saml admin - none admin ontapi password admin no none admin ontapi saml admin - none admin service-processor password admin no none admin ssh password admin no none admin1 http password backup no none **admin1 http saml backup - none** -
SAML認証の無効化
外部のアイデンティティプロバイダ(IdP)を使用してWebユーザの認証を停止する場合は、SAML認証を無効にすることができます。SAML認証が無効な場合は、Active DirectoryやLDAPなどの設定済みのディレクトリサービスプロバイダが認証に使用されます。
環境に応じて、次の手順を実行します。
-
[クラスタ]>[設定]*をクリックします。
-
[* SAML Authentication* ( SAML 認証) ] で、 [* Enabled * (有効 * ) ] トグルボタンをクリックします。
-
オプション:[SAML認証]*の横にあるをクリックし、[SAML認証を有効にする]*チェックボックスをオフにすることもできます
。
-
SAML認証を無効にします。
security saml-sp modify -is-enabled false -
SAML認証を使用する必要がなくなった場合やIdPを変更する場合は、SAMLの設定を削除します。
security saml-sp delete
SAMLの設定に関する問題のトラブルシューティング
Security Assertion Markup Language(SAML)認証の設定に失敗した場合は、SAMLの設定に失敗した各ノードを手動で修復して、障害からリカバリできます。修復プロセス中にWebサーバが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。
SAML認証を設定すると、ONTAPはSAMLの設定をノード単位で適用します。SAML認証を有効にすると、設定に問題がある場合、ONTAPは自動的に各ノードを修復しようとします。いずれかのノードでSAMLの設定に問題がある場合は、SAML認証を無効にしてから再度有効にすることができます。SAML認証を再度有効にしたあとも、1つ以上のノードにSAMLの設定を適用できない場合があります。SAMLの設定に失敗したノードを特定し、そのノードを手動で修復できます。
-
advanced権限レベルにログインします。
set -privilege advanced -
SAMLの設定に失敗したノードを特定します。
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: config-failed Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file. SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed. -
障害が発生したノードでSAMLの設定を修復します。
security saml-sp repair -node node_namecluster_12::*> security saml-sp repair -node node2 Warning: This restarts the web server. Any HTTP/S connections that are active will be disrupted. Do you want to continue? {y|n}: y [Job 181] Job is running. [Job 181] Job success.Webサーバが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。
-
すべてのノードでSAMLが正しく設定されていることを確認します。
security saml-sp status show -instancecluster_12::*> security saml-sp status show -instance Node: node1 Update Status: config-success Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 179 Node: node2 Update Status: **config-success** Database Epoch: 9 Database Transaction Count: 997 Error Text: SAML Service Provider Enabled: false ID of SAML Config Job: 180 2 entries were displayed.