Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

リモートONTAPユーザーの SAML 認証を構成する

共同作成者 netapp-bhouser netapp-dbagwell netapp-aaron-holt netapp-mwallis netapp-thomi netapp-aherbin
PDF

ONTAP 9.3以降では、WebサービスにSecurity Assertion Markup Language(SAML)認証を設定できます。SAML認証を設定して有効にすると、Active DirectoryやLDAPなどのディレクトリ サービス プロバイダではなく、外部のアイデンティティ プロバイダ(IdP)によってユーザが認証されます。SAML認証が無効な場合は、Active DirectoryやLDAPなどの設定済みのディレクトリ サービス プロバイダが認証に使用されます。

SAML認証を有効にする

System ManagerまたはCLIを使用してSAML認証を有効にするには、次の手順を実行します。クラスタでONTAP 9.7以前が実行されている場合は、System Managerで実行する手順が異なります。使用しているシステムで利用可能なSystem Managerのオンライン ヘルプを参照してください。

メモ SAML 認証を有効にすると、SAML 認証用に設定されたリモート ユーザーのみが System Manager GUI にアクセスできるようになります。ローカル ユーザはSystem ManagerのGUIにアクセスできません。

SAML による多要素認証を設定するタスクのワークフロー

タスクの内容

  • SAML認証はONTAPにのみ適用されます `http`そして `ontapi`アプリケーション。

    その `http`そして `ontapi`アプリケーションは、サービス プロセッサ インフラストラクチャ、 ONTAP API、および System Manager などの Web サービスによって使用されます。

  • SAML認証は、管理SVMへのアクセスでのみ使用できます。

  • ONTAP 9.17.1以降では、IdPが提供するグループ情報をONTAPロールにマッピングできるようになりました。これにより、IdPで定義されたグループに基づいてユーザにロールを割り当てることができます。詳細については、以下を参照してください。 "ONTAPでのOAuth 2.0またはSAML IdPグループの使用"

次のIdPがSystem Managerで検証されました。

  • Microsoft Entra ID( ONTAP 9.17.1以降で検証済み)

  • Active Directoryフェデレーションサービス

  • Cisco Duo (次のONTAPバージョンで検証済み)

    • 9.7P21以降の9.7リリース(を参照 "System Managerのクラシックドキュメント"

    • 9.8P17以降の9.8パッチリリース

    • 9.9.1P13 以降の 9.9.1 パッチリリース

    • 9.10.1P9 以降の 9.10.1 パッチリリース

    • 9.11.1P4 以降の 9.11.1 パッチリリース

    • 9.12.1以降のリリース

  • Shibboleth

開始する前に

  • リモート認証に使用するIdPは、以下のものでなければなりません構成された。IdPのURIが必要です。ONTAP が認証要求を送信し、応答を受信する Web アドレスです。

  • ONTAPクラスタと IdP の間でポート 443 が開いている必要があります。

  • ONTAPクラスタとIdPは、互いの完全修飾ドメイン名にpingを実行できる必要があります。DNSが正しく設定され、クラスタ証明書の有効期限が切れていないことを確認してください。

  • て、IdPの信頼できる認証局(CA)をONTAPに追加します。あなたは "System ManagerでONTAP証明書を管理する"。IdP でONTAPクラスタ証明書を設定する必要がある場合があります

  • ONTAPクラスタの"サービス プロセッサ(SP)"コンソール。SAMLが正しく構成されていない場合は、 SPコンソールから無効にする必要があります。

  • Entra ID( ONTAP 9.17.1以降で検証済み)をご利用の場合は、 ONTAP SAML設定を作成する前に、 ONTAPメタデータでEntra IDを設定する必要があります。EntraIDは、 ONTAPメタデータが設定されるまでIdP URIを提供しません。ONTAPONTAP設定を作成するには、IdP URIが必要です。

    • System Managerを使用してSAMLを設定する場合は、System ManagerからONTAPメタデータが提供されるまで、IdP URIフィールドを空白のままにしておきます。ONTAPONTAPデータを使用してEntra IDを設定し、SAML設定を有効にする前にIdP URIをSystem Managerにコピーしてください。

    • ONTAP CLIを使用してSAMLを設定する場合は、 ONTAP SAML設定を有効にする前にONTAPメタデータを生成する必要があります。ONTAPONTAPデータファイルは、以下のコマンドで生成できます。

      security saml-sp default-metadata create -sp-host <ontap_host_name>

      ontap_host_name SAMLサービスプロバイダホスト(この場合はONTAPシステム)のホスト名またはIPアドレスです。デフォルトでは、クラスタ管理IPアドレスが使用されます。必要に応じて、ONTAPサーバ証明書の情報を指定できます。デフォルトでは、ONTAP Webサーバ証明書の情報が使用されます。

    提供されたメタデータを使用してEntra IDを設定します。ONTAPONTAP設定を作成する前に、Entra IDを設定する必要があります。Entraの設定が完了したら、以下のCLI手順に進みます。

    • クラスタ内のすべてのノードがバージョン 9.17.1 になるまで、Entra ID のONTAPメタデータを生成することはできません。

手順

環境に応じて、次の手順を実行します。

System Manager

  1. [クラスタ]>[設定]*をクリックします。

  2. [SAML認証]*の横にあるをクリックします アクションアイコン

  3. SAML 認証を有効にする * チェックボックスがオンになっていることを確認します。

  4. IdP URIのURLを入力します( "https://" )。EntraID を使用している場合は、この手順をスキップしてください。

  5. 必要に応じて、ホスト システムのアドレスを変更します。これは、認証後にIdPが接続するアドレスです。デフォルトはクラスタ管理IPアドレスです。

  6. 正しい証明書が使用されていることを確認します。

    • システムに「サーバ」タイプの証明書が1つだけ適用されている場合、その証明書はデフォルトとみなされ、画面には表示されません。

    • システムに「サーバ」タイプの証明書が複数適用されている場合は、そのうちの1つが表示されます。別の証明書を選択するには、 * Change * をクリックします。

  7. [ 保存( Save ) ] をクリックします。確認ウィンドウにメタデータ情報が表示され、クリップボードに自動的にコピーされます。

  8. 指定したIdPシステムに移動し、クリップボードからメタデータをコピーしてシステムのメタデータを更新します。Entra ID を使用している場合は、システム メタデータを使用して Entra ID を設定した後、IdP URI をONTAPにコピーします。

  9. 確認ウィンドウ( System Manager )に戻り、チェックボックスをオンにします。 * ホスト URI またはメタデータで IdP を設定しました。 *

  10. Logout * をクリックして、 SAML ベースの認証を有効にします。IdPシステムに認証画面が表示されます。

  11. IdP サインオン ページで、SAML ベースの資格情報を入力します。クレデンシャルが確認されると、System Managerのホーム ページが表示されます。

CLI

  1. SAML設定を作成して、ONTAPからIdPメタデータにアクセスできるようにします。

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    `idp_uri`は、IdPメタデータのダウンロード元のIdPホストのFTPアドレスまたはHTTPアドレスです。

    メモ 一部のURLには疑問符(?)が含まれています。疑問符はONTAPコマンドラインのアクティブヘルプを起動します。クエスチョンマーク付きのURLを入力するには、まず、以下のコマンドでアクティブ・ヘルプを無効にする必要がある set -active-help false。アクティブ・ヘルプは、後でコマンド set -active-help true"ONTAPコマンド リファレンス"

    `ontap_host_name`は、SAMLサービスプロバイダホスト(ここではONTAPシステム)のホスト名またはIPアドレスです。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。

    必要に応じて、ONTAPサーバ証明書の情報を指定できます。デフォルトでは、ONTAP Webサーバ証明書情報が使用されます。

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.

    ONTAPホストメタデータにアクセスするためのURLが表示されます。

  2. IdPホストから、 IdPを設定する ONTAPホストメタデータを使用します。EntraIDを使用している場合は、この手順はすでに完了しています。

  3. IdP が設定されたら、SAML 設定を有効にします。

    security saml-sp modify -is-enabled true

    または ontapi`アプリケーションにアクセスする既存のユーザには `http、SAML認証が自動的に設定されます。

  4. ユーザーを作成したい場合は、 http`または `ontapi SAMLの設定後にアプリケーションにログインする場合は、新規ユーザーの認証方法としてSAMLを指定します。ONTAP9.17.1より前のバージョンでは、既存のユーザーに対してSAMLログインが自動的に作成されます。 http`または `ontapi SAMLが有効な場合、新しいユーザーはSAML用に設定される必要があります。ONTAP9.17.1以降、SAMLで作成されONTAPすべてのユーザーは passworddomain 、 または nsswitch SAML が有効になっている場合、認証方法は IdP に対して自動的に認証されます。

    1. を使用した新規ユーザー用のログイン方法を作成します。 user_name IdP で設定されたユーザー名と一致する必要があります。

      メモ `user_name`値では大文字と小文字が区別されます。ユーザ名だけを含め、ドメインの一部は含めないでください。

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      例:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12

    2. ユーザエントリが作成されたことを確認します。

      security login show

      例:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

    + の詳細については security login show、を"ONTAPコマンド リファレンス"参照してください。

SAML認証の無効化

外部IDプロバイダー(IdP)によるリモートSystem Managerユーザーの認証を停止したい場合は、SAML認証を無効にすることができます。SAML認証を無効にすると、ローカルユーザー認証、またはActive DirectoryやLDAPなどの設定済みディレクトリサービスプロバイダーがユーザー認証に使用されます。

環境に応じて、次の手順を実行します。

例 1. 手順
System Manager

  1. [クラスタ]>[設定]*をクリックします。

  2. [* SAML Authentication* ( SAML 認証) ] で、 [* Enabled * (有効 * ) ] トグルボタンをクリックします。

  3. オプション[SAML認証]*の横にあるをクリックし、[SAML認証を有効にする]*チェックボックスをオフにすることもできます アクションアイコン

CLI

  1. SAML認証を無効にします。

    security saml-sp modify -is-enabled false

  2. SAML認証を使用する必要がなくなった場合やIdPを変更する場合は、SAMLの設定を削除します。

    security saml-sp delete

サードパーティのIdPを構成する

タスクの内容

ONTAPで認証するには、IdP の設定を変更する必要がある場合があります。以下のセクションでは、サポートされている IdP の設定情報について説明します。

エントラID

Entra IDを設定する際は、新しいアプリケーションを作成し、 ONTAPが提供するメタデータを使用してSAMLサインオンを設定します。アプリケーションの作成後、アプリケーションのSAML設定の「属性とクレーム」セクションを以下の内容に合わせて編集します。

設定

名前

urn:oid:0.9.2342.19200300.100.1.1

ネームスペース

空白のまま

名前の形式

URI

ソース

属性

ソース属性

ユーザー.ユーザープリンシパル名

Entra ID でグループを使用する場合は、次の設定でグループ要求を追加します。

設定

名前

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

ネームスペース

空白のまま

ソース属性

グループID

Entra IDはUUID形式でグループ情報を提供します。EntraIDでグループを使用する方法の詳細については、以下を参照してください。 "UUIDを使用したグループの管理"

アプリケーション SAML 設定の「SAML 証明書」セクションで提供される App Federation Metadata URL は、 ONTAPに入力する IdP URI です。

Entra ID多要素認証の設定方法については、以下を参照してください。 "Microsoft Entra 多要素認証の展開を計画する"

詳細については、 "Entra ID文書"

Active Directoryフェデレーションサービス

Active Directory Federation Services(AD FS)を設定する際には、 ONTAPが提供するサービスプロバイダメタデータを使用して、新しいクレーム対応証明書利用者信頼を追加する必要があります。証明書利用者信頼を作成したら、「LDAP属性をクレームとして送信」テンプレートを使用して、証明書利用者信頼のクレーム発行ポリシーに以下のクレームルールを追加します。

属性ストア LDAP属性 送信クレームタイプ

Active Directory

SAM-account-name

Name ID

Active Directory

SAM-account-name

urn:oid:0.9.2342.19200300.100.1.1

Active Directory

名前の形式

urn:oasis:names:tc:SAML:2.0:attrname-format:uri

Active Directory

トークングループ - ドメイン名で修飾

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Active Directory

sAMAccountName

urn:oid:1.2.840.113556.1.4.221

AD FSはグループ情報を名前形式で提供します。ADFSでのグループの使用の詳細については、以下を参照してください。 "名前付きのグループを管理します。"

詳細については、 "AD FS ドキュメント"

Cisco Duo

参照"Cisco Duoマニュアル"構成情報については。

Shibboleth

Shibboleth IdP を構成する前に、LDAP サーバーを構成する必要があります。

ONTAPでSAMLを有効にする場合は、提供されたホストメタデータXMLを保存します。Shibbolethがインストールされているホストで、 metadata/sp-metadata.xml Shibboleth IdP ホーム ディレクトリ内のホスト メタデータ XML を使用します。

詳細については、 "Shibboleth"

SAMLの設定に関する問題のトラブルシューティング

Security Assertion Markup Language(SAML)認証の設定に失敗した場合は、SAMLの設定に失敗した各ノードを手動で修復して、障害からリカバリできます。修復プロセス中にWebサーバが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。

タスクの内容

SAML認証を設定すると、ONTAPはSAMLの設定をノード単位で適用します。SAML認証を有効にすると、設定に問題がある場合、ONTAPは自動的に各ノードを修復しようとします。いずれかのノードでSAMLの設定に問題がある場合は、SAML認証を無効にしてから再度有効にすることができます。SAML認証を再度有効にしたあとも、1つ以上のノードにSAMLの設定を適用できない場合があります。SAMLの設定に失敗したノードを特定し、そのノードを手動で修復できます。

手順

  1. advanced権限レベルにログインします。

    set -privilege advanced

  2. SAMLの設定に失敗したノードを特定します。

    security saml-sp status show -instance

    例:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    の詳細については security saml-sp status show、を"ONTAPコマンド リファレンス"参照してください。

  3. 障害が発生したノードでSAMLの設定を修復します。

    security saml-sp repair -node <node_name>

    例:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Webサーバが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。

    の詳細については security saml-sp repair、を"ONTAPコマンド リファレンス"参照してください。

  4. すべてのノードでSAMLが正しく設定されていることを確認します。

    security saml-sp status show -instance

    例:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

    の詳細については security saml-sp status show、を"ONTAPコマンド リファレンス"参照してください。

関連情報