Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

リモートONTAPユーザのSAML認証を設定する

共同作成者 netapp-bhouser netapp-dbagwell netapp-aaron-holt netapp-mwallis netapp-thomi netapp-lenida netapp-aherbin
PDF

ONTAP 9.3以降では、WebサービスにSecurity Assertion Markup Language(SAML)認証を設定できます。SAML認証を設定して有効にすると、Active DirectoryやLDAPなどのディレクトリ サービス プロバイダではなく、外部のアイデンティティ プロバイダ(IdP)によってユーザが認証されます。SAML認証が無効な場合は、Active DirectoryやLDAPなどの設定済みのディレクトリ サービス プロバイダが認証に使用されます。

SAML認証の有効化

System ManagerまたはCLIを使用してSAML認証を有効にするには、次の手順を実行します。クラスタでONTAP 9.7以前が実行されている場合は、System Managerで実行する手順が異なります。使用しているシステムで利用可能なSystem Managerのオンライン ヘルプを参照してください。

メモ SAML認証を有効にすると、SAML認証が設定されているリモートユーザーのみがSystem Manager GUIにアクセスできるようになります。SAML認証を有効にすると、ローカルユーザーはSystem Manager GUIにアクセスできなくなります。

SAMLによる多要素認証を設定するタスクのワークフロー

タスク概要

  • SAML認証は、ONTAP `http`アプリケーションと `ontapi`アプリケーションにのみ適用されます。

    `http`および `ontapi`アプリケーションは、Service Processor Infrastructure、ONTAP API、およびSystem Managerの各Webサービスによって使用されます。

  • SAML認証は、管理SVMへのアクセス時にのみ適用できます。

  • ONTAP 9.17.1以降では、IdPが提供するグループ情報をONTAPロールにマッピングできるようになりました。これにより、IdPで定義されたグループに基づいてユーザにロールを割り当てることができます。詳細については、"ONTAP で OAuth 2.0 または SAML IdP グループを使用する"を参照してください。

System Managerでは、次のIdPが検証済みです。

  • Microsoft Entra ID(ONTAP 9.17.1以降で検証済み)

  • Active Directoryフェデレーション サービス

  • Cisco Duo(次のONTAPバージョンで検証済み:)

    • 9.7P21 以降の 9.7 リリース( "System Manager Classicドキュメント"を参照)

    • 9.8P17以降の9.8パッチリリース

    • 9.9.1P13以降の9.9.1パッチリリース

    • 9.10.1P9以降の9.10.1パッチリリース

    • 9.11.1P4以降の9.11.1パッチリリース

    • 9.12.1以降のリリース

  • Shibboleth

開始する前に

  • リモート認証に使用するIdPは設定済みである必要があります。IdPのURIが必要です。IdP URIは、ONTAPが認証要求を送信し、応答を受信するWebアドレスです。

  • ONTAPクラスタとIdPの間でポート443が開いている必要があります。

  • ONTAPクラスタとIdPは、それぞれ相手の完全修飾ドメイン名にpingを実行できる必要があります。DNSが正しく設定され、クラスタ証明書の有効期限が切れていないことを確認してください。

  • 必要に応じて、IdPの信頼できる証明機関(CA)をONTAPに追加します。"System ManagerでONTAP証明書を管理する"できます。IdPでONTAPクラスタ証明書を設定する必要がある場合があります。

  • ONTAPクラスタの"サービス プロセッサ(SP)"コンソールにアクセスできる必要があります。SAMLの設定が間違っている場合は、SPコンソールからSAMLを無効にする必要があります。

  • Entra ID(ONTAP 9.17.1以降で検証済み)を使用している場合は、ONTAP SAML設定を作成する前に、ONTAPメタデータでEntra IDを設定する必要があります。Entra IDは、ONTAPメタデータで設定されるまでIdP URIを提供しません。IdP URIは、ONTAP SAML設定を作成するために必要です。

    • System Managerを使用してSAMLを設定する場合は、System ManagerがONTAPメタデータを提供するまで、IdP URIフィールドを空白のままにしておきます。ONTAPメタデータを使用してEntra IDを設定し、SAML設定を有効にする前にIdP URIをSystem Managerにコピーしてください。

    • ONTAP CLIを使用してSAMLを設定する場合は、ONTAP SAML設定を有効にする前にONTAPメタデータを生成する必要があります。ONTAPメタデータファイルは、以下のコマンドで生成できます:

      security saml-sp default-metadata create -sp-host <ontap_host_name>

      `ontap_host_name`は、SAMLサービスプロバイダホスト(この場合はONTAPシステム)のホスト名またはIPアドレスです。デフォルトでは、クラスタ管理IPアドレスが使用されます。オプションでONTAPサーバ証明書情報を指定できます。デフォルトでは、ONTAPWebサーバ証明書情報が使用されます。

    提供されたメタデータを使用してEntra IDを設定してください。ONTAP SAML設定を作成する前に、Entra IDを設定する必要があります。Entraの設定が完了したら、以下のCLI手順に進んでください。

    • クラスタ内のすべてのノードがバージョン9.17.1になるまで、Entra IDのONTAPメタデータを生成することはできません。

手順

環境に応じて、次の手順を実行します。

System Manager

  1. *[クラスタ] > [設定]*をクリックします。

  2. *SAML 認証*の横にあるアクションアイコンをクリックします。

  3. *SAML認証を有効にする*チェックボックスがオンになっていることを確認します。

  4. IdP URIのURL("https://"を含む)を入力してください。Entra IDをご利用の場合は、この手順をスキップしてください。

  5. 必要に応じてホストシステムのアドレスを変更します。これは、認証後にIdPが接続するアドレスです。デフォルトはクラスタ管理IPアドレスです。

  6. 正しい証明書が使用されていることを確認します。

    • システムに「サーバ」タイプの証明書が1つだけ適用されている場合、その証明書はデフォルトとみなされ、画面には表示されません。

    • システムに「サーバー」タイプの証明書が複数マッピングされている場合、そのうちの1つが表示されます。別の証明書を選択するには、*Change*をクリックしてください。

  7. *Save*をクリックします。確認ウィンドウにメタデータ情報が表示され、クリップボードに自動的にコピーされます。

  8. 指定したIdPシステムにアクセスし、クリップボードからメタデータをコピーしてシステムメタデータを更新します。Entra IDを使用している場合は、システムメタデータを使用してEntra IDを設定した後、IdP URIをONTAPにコピーしてください。

  9. 確認ウィンドウ(System Manager内)に戻り、*ホスト URI またはメタデータを使用して IdP を構成しました*のチェックボックスをオンにします。

  10. SAMLベースの認証を有効にするには、*ログアウト*をクリックします。IdPシステムに認証画面が表示されます。

  11. IdPサインオンページで、SAMLベースの認証情報を入力します。認証情報が検証されると、System Managerのホームページに移動します。

CLI

  1. SAMLの設定を作成して、ONTAPがIdPメタデータにアクセスできるようにします。

    security saml-sp create -idp-uri <idp_uri> -sp-host <ontap_host_name>

    `idp_uri`は、IdP メタデータをダウンロードできる IdP ホストの FTP または HTTP アドレスです。

    メモ 一部のURLには疑問符(?)が含まれています。疑問符はONTAPコマンドラインのアクティブヘルプを起動します。疑問符を含むURLを入力するには、まずコマンド `set -active-help false`でアクティブヘルプを無効にする必要があります。アクティブヘルプは、後でコマンド `set -active-help true`で再度有効にすることができます。詳細については、"ONTAPコマンド リファレンス"をご覧ください。

    `ontap_host_name`は、SAMLサービスプロバイダホスト(この場合はONTAPシステム)のホスト名またはIPアドレスです。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。

    必要に応じて、ONTAPサーバ証明書の情報を指定できます。デフォルトでは、ONTAP Webサーバ証明書の情報が使用されます。

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 179] Job succeeded: Access the SAML SP metadata using the URL:
https://10.0.0.1/saml-sp/Metadata

Configure the IdP and ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the ONTAP user configuration.

    ONTAPホスト メタデータにアクセスするためのURLが表示されます。

  2. IdPホストから、ONTAPホストのメタデータを使用して IdPを設定する を実行します。Entra IDを使用している場合は、この手順はすでに完了しています。

  3. IdP が設定されたら、SAML 設定を有効にします:

    security saml-sp modify -is-enabled true

    `http`または `ontapi`アプリケーションにアクセスする既存のユーザは、SAML認証用に自動的に設定されます。

  4. SAMLの設定後に http`または `ontapi`アプリケーションのユーザを作成する場合は、新規ユーザの認証方法としてSAMLを指定してください。ONTAP 9.17.1より前のバージョンでは、SAMLを有効にすると、既存の `http`または `ontapi`ユーザに対してSAMLログインが自動的に作成されます。新規ユーザはSAML用に設定する必要があります。ONTAP 9.17.1以降では、 `passworddomain、または `nsswitch`認証方法で作成されたすべてのユーザは、SAMLを有効にするとIdPに対して自動的に認証されます。

    1. SAML認証を使用した新規ユーザーのログイン方法を作成します。 `user_name`は、IdPで設定されたユーザー名と一致する必要があります。

      メモ この `user_name`値は大文字と小文字が区別されます。Entra IDを使用していない場合は、ユーザー名のみを含め、ドメインの部分は含めないでください。Entra IDを使用している場合は、ドメインを含むユーザー名を作成できます(例:user_name@domain.com)。

      security login create -user-or-group-name <user_name> -application [http | ontapi] -authentication-method saml -vserver <svm_name>

      例:

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver cluster_12

    2. ユーザ エントリが作成されたことを確認します。

      security login show

      例:

    cluster_12::> security login show

Vserver: cluster_12
                                                                 Second
User/Group                 Authentication                 Acct   Authentication
Name           Application Method        Role Name        Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
admin          console     password      admin            no     none
admin          http        password      admin            no     none
admin          http        saml          admin            -      none
admin          ontapi      password      admin            no     none
admin          ontapi      saml          admin            -      none
admin          service-processor
                           password      admin            no     none
admin          ssh         password      admin            no     none
admin1         http        password      backup           no     none
admin1         http        saml          backup           -      none

    + `security login show`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

SAML認証の無効化

外部Identity Provider(IdP)によるリモートSystem Managerユーザの認証を停止したい場合は、SAML認証を無効にすることができます。SAML認証を無効にすると、ローカルユーザ認証、またはActive DirectoryやLDAPなどの設定済みディレクトリサービスプロバイダがユーザ認証に使用されます。

環境に応じて、次の手順を実行します。

例 1. 手順
System Manager

  1. *[クラスタ] > [設定]*をクリックします。

  2. *SAML認証*で、*有効*トグルボタンをクリックします。

  3. オプションアクションアイコン*SAML 認証*の横にある をクリックし、*SAML 認証を有効にする*チェックボックスをオフにすることもできます。

CLI

  1. SAML認証を無効にします。

    security saml-sp modify -is-enabled false

  2. SAML認証を使用しなくなった場合やIdPを変更する場合は、SAMLの設定を削除します。

    security saml-sp delete

サードパーティのIdPを構成する

タスク概要

ONTAPで認証するには、IdPの設定を変更する必要がある場合があります。次のセクションでは、サポートされているIdPsの設定情報について説明します。

Entra ID

Entra IDを設定する際は、新しいアプリケーションを作成し、ONTAPから提供されたメタデータを使用してSAMLサインオンを設定します。アプリケーションの作成後、アプリケーションのSAML設定の「属性とクレーム」セクションを以下の内容に合わせて編集します:

設定 Value

Name

urn:oid:0.9.2342.19200300.100.1.1

ネームスペース

空白のまま

名前の形式

URI

ソース

属性

ソース属性

user.userprincipalname

Entra ID でグループを使用する場合は、次の設定でグループ要求を追加します:

設定 Value

Name

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

ネームスペース

空白のまま

ソース属性

グループID

Entra IDはUUID形式でグループ情報を提供します。Entra IDでグループを使用する方法の詳細については、"UUIDでグループを管理する"をご覧ください。

アプリケーションSAML設定の「SAML証明書」セクションで提供される_App Federation Metadata URL_は、ONTAPに入力するIdP URIです。

Entra ID 多要素認証の設定方法については、"Microsoft Entra多要素認証の展開を計画する"を参照してください。

詳細については、"Entra IDドキュメント"を参照してください。

Active Directoryフェデレーション サービス

Active Directory フェデレーションサービス(AD FS)を設定する際は、ONTAPが提供するサービスプロバイダメタデータを使用して、新しいクレーム対応証明書利用者信頼を追加する必要があります。証明書利用者信頼を作成したら、「LDAP属性をクレームとして送信」テンプレートを使用して、証明書利用者信頼のクレーム発行ポリシーに以下のクレームルールを追加します:

属性ストア LDAP属性 送信クレームタイプ

Active Directory

SAM-account-name

Name ID

Active Directory

SAM-account-name

urn:oid:0.9.2342.19200300.100.1.1

Active Directory

名前の形式

urn:oasis:names:tc:SAML:2.0:attrname-format:uri

Active Directory

トークングループ - ドメイン名で修飾

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Active Directory

sAMAccountName

urn:oid:1.2.840.113556.1.4.221

AD FS はグループ情報を名前形式で提供します。AD FS でのグループの使用に関する詳細については、"名前でグループを管理する"を参照してください。

詳細については、"AD FS ドキュメント"を参照してください。

Cisco Duo

設定情報については"Cisco Duo ドキュメント"を参照してください。

Shibboleth

Shibboleth IdP を構成する前に、LDAPサーバを構成しておく必要があります。

ONTAPでSAMLを有効にする場合は、提供されたホストメタデータXMLを保存します。Shibbolethがインストールされているホストで、 `metadata/sp-metadata.xml`の内容を、Shibboleth IdPホームディレクトリ内のホストメタデータXMLに置き換えます。

詳細については、"Shibboleth"を参照してください。

SAMLの設定に関する問題のトラブルシューティング

Security Assertion Markup Language(SAML)認証の設定に失敗した場合は、SAMLの設定に失敗した各ノードを手動で修復して、障害からリカバリできます。修復プロセスの際は、Webサーバが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。

タスク概要

SAML認証の設定時に、ONTAPはSAMLの設定をノード単位で適用します。SAML認証を有効にすると、ONTAPは設定の問題がある場合に自動的に各ノードを修復しようとします。いずれかのノードでSAMLの設定に関する問題がある場合は、SAML認証を無効にしてから再度有効にすることができます。SAML認証を再度有効にしたあとでも、1つ以上のノードにSAMLの設定を適用できない場合があります。SAMLの設定に失敗したノードを特定し、そのノードを手動で修復できます。

手順

  1. advanced権限レベルにログインします。

    set -privilege advanced

  2. SAMLの設定に失敗したノードを特定します。

    security saml-sp status show -instance

    例:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-failed
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.
    `security saml-sp status show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-saml-sp-status-show.html["ONTAPコマンド リファレンス"^]をご覧ください。

  3. 障害が発生したノードでSAMLの設定を修復します。

    security saml-sp repair -node <node_name>

    例:

    cluster_12::*> security saml-sp repair -node node2

Warning: This restarts the web server. Any HTTP/S connections that are active
         will be disrupted.
Do you want to continue? {y|n}: y
[Job 181] Job is running.
[Job 181] Job success.

    Webサーバが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。

    `security saml-sp repair`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-saml-sp-repair.html["ONTAPコマンド リファレンス"^]をご覧ください。

  4. すべてのノードでSAMLが正常に設定されたことを確認します。

    security saml-sp status show -instance

    例:

    cluster_12::*> security saml-sp status show -instance

                         Node: node1
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 179

                         Node: node2
                Update Status: config-success
               Database Epoch: 9
   Database Transaction Count: 997
                   Error Text:
SAML Service Provider Enabled: false
        ID of SAML Config Job: 180
2 entries were displayed.
    `security saml-sp status show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-saml-sp-status-show.html["ONTAPコマンド リファレンス"^]をご覧ください。
関連情報