Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SAML 認証を設定する

共同作成者
PDF

ONTAP 9.3 以降では、 Web サービスに Security Assertion Markup Language ( SAML )認証を設定できます。SAML 認証を設定して有効にすると、 Active Directory や LDAP などのディレクトリサービスプロバイダではなく、外部のアイデンティティプロバイダ( IdP )によってユーザが認証されます。

SAML 認証を有効にする

System ManagerまたはCLIを使用してSAML認証を有効にするには、次の手順を実行します。クラスタでONTAP 9.7以前が実行されている場合は、System Managerで実行する手順が異なります。ご使用のシステムで利用可能なSystem Managerのオンラインヘルプを参照してください。

メモ SAML認証を有効にすると、System ManagerのGUIにアクセスできるのはリモートユーザだけになります。ローカルユーザは、 SAML 認証を有効にしたあとで System Manager GUI にアクセスできません。

SAML を使用したマルチファクタ認証をセットアップするタスクのワークフロー図

作業を開始する前に

  • リモート認証に使用する IdP を設定する必要があります。

    メモ

    設定済みの IdP から提供されたドキュメントを参照してください。

  • IdP の URI が必要です。

このタスクについて

  • SAML認証は、にのみ適用されます http および ontapi アプリケーション:

    http および ontapi アプリケーションは、サービスプロセッサインフラ、ONTAP API、またはSystem ManagerのWebサービスで使用されます。

  • SAML 認証は、管理 SVM へのアクセス時にのみ適用できます。

次のIdPがSystem Managerで検証されました。

  • Active Directoryフェデレーションサービス

  • Cisco Duo(次のONTAPバージョンで検証済み)

  • Shibboleth

環境に応じて、次の手順を実行します。

例 1. 手順
System Manager の略

  1. [Cluster] > [Settings] の順にクリックします。

  2. SAML 認証 * の横にあるをクリックします 歯車アイコン

  3. SAML 認証を有効にする * チェックボックスがオンになっていることを確認します。

  4. IdP URI の URL (を含む)を入力します "https://")。

  5. 必要に応じて、ホストシステムのアドレスを変更します。

  6. 正しい証明書が使用されていることを確認します。

    • タイプが「 server 」の証明書が 1 つだけシステムにマッピングされている場合、その証明書はデフォルトとみなされ、表示されません。

    • システムが「 server 」タイプの複数の証明書にマッピングされている場合は、いずれかの証明書が表示されます。 別の証明書を選択するには、 * Change * をクリックします。

  7. [ 保存( Save ) ] をクリックします。確認ウィンドウには、自動的にクリップボードにコピーされたメタデータ情報が表示されます。

  8. 指定した IdP システムに移動し、クリップボードからメタデータをコピーしてシステムメタデータを更新します。

  9. 確認ウィンドウ( System Manager )に戻り、チェックボックスをオンにします。 * ホスト URI またはメタデータで IdP を設定しました。 *

  10. Logout * をクリックして、 SAML ベースの認証を有効にします。 IdP システムに認証画面が表示されます。

  11. IdP システムで、 SAML ベースのクレデンシャルを入力します。クレデンシャルを確認すると、 System Manager のホームページが表示されます。

CLI の使用

  1. SAML の設定を作成して、 ONTAP が IdP メタデータにアクセスできるようにします。

    security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uri は、IdPメタデータのダウンロード元のIdPホストのFTPアドレスまたはHTTPアドレスです。

    ontap_host_name は、SAMLサービスプロバイダホスト(ここではONTAP システム)のホスト名またはIPアドレスです。デフォルトでは、クラスタ管理 LIF の IP アドレスが使用されます。

    必要に応じて、 ONTAP サーバ証明書の情報を指定できます。デフォルトでは、 ONTAP Web サーバ証明書の情報が使用されます。

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    ONTAP ホストメタデータにアクセスするための URL が表示されます。

  2. IdP ホストから、 ONTAP ホストメタデータを使用して IdP を設定します。

    IdP の設定の詳細については、 IdP のマニュアルを参照してください。

  3. SAML の設定を有効にします。

    security saml-sp modify -is-enabled true

    にアクセスする既存のユーザ http または ontapi アプリケーションでSAML認証が自動的に設定されます。

  4. のユーザを作成する場合 http または ontapi アプリケーションSAMLの設定後、新しいユーザの認証方式としてSAMLを指定します。

    1. SAML認証を使用する新しいユーザのログイン方法を作成します。 [+] security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12

    2. ユーザエントリが作成されたことを確認します。

      security login show

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
**admin1       http        saml          backup           -      none**

SAML 認証を無効にする

外部のアイデンティティプロバイダ( IdP )を使用して Web ユーザの認証を停止する場合は、 SAML 認証を無効にすることができます。SAML 認証が無効な場合は、 Active Directory や LDAP などの設定済みのディレクトリサービスプロバイダが認証に使用されます。

環境に応じて、次の手順を実行します。

例 2. 手順
System Manager の略

  1. [Cluster] > [Settings] の順にクリックします。

  2. [* SAML Authentication* ( SAML 認証) ] で、 [* Enabled * (有効 * ) ] トグルボタンをクリックします。

  3. オプション歯車アイコン [SAML 認証 *] の横にある [SAML 認証を有効にする *] チェックボックスをオフにします

CLI の使用

  1. SAML 認証を無効にする

    security saml-sp modify -is-enabled false

  2. SAML 認証を使用しなくなった場合や IdP を変更する場合は、 SAML の設定を削除します。

    security saml-sp delete

SAML の設定に関する問題のトラブルシューティング

Security Assertion Markup Language ( SAML )認証の設定に失敗した場合は、 SAML の設定に失敗した各ノードを手動で修復して、障害からリカバリできます。修復プロセスの実行中は、 Web サーバが再起動され、アクティブな HTTP 接続または HTTPS 接続が中断されます。

このタスクについて

SAML 認証の設定時に、 ONTAP は SAML の設定をノード単位で適用します。SAML 認証を有効にすると、 ONTAP は設定の問題がある場合に自動的に各ノードを修復しようとします。いずれかのノードで SAML の設定に関する問題がある場合は、 SAML 認証を無効にしてから再度有効にすることができます。SAML 認証を再度有効にしたあとでも、 1 つ以上のノードに SAML の設定を適用できない場合があります。SAML の設定に失敗したノードを特定し、そのノードを手動で修復できます。

手順

  1. advanced 権限レベルにログインします。

    set -privilege advanced

  2. SAML の設定に失敗したノードを特定します。

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.

  3. 障害が発生したノードで SAML の設定を修復します。

    security saml-sp repair -node node_name

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Web サーバが再起動され、アクティブな HTTP 接続または HTTPS 接続が中断されます。

  4. すべてのノードで SAML が正常に設定されたことを確認します。

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: **config-success**
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.
関連情報

"ONTAP 9コマンド"