多要素認証(MFA)を管理します。
このトピックでは、Active Directoryフェデレーションサービス(AD FS)サーバーとSnapCenter サーバーで多要素認証(MFA)機能を管理する方法について説明します。
多要素認証(MFA)を有効にする
このトピックでは、Active Directoryフェデレーションサービス(AD FS)サーバーとSnapCenter サーバーでMFA機能を有効にする方法について説明します。
-
SnapCenter は、他のアプリケーションが同じAD FSで構成されている場合にSSOベースのログインをサポートします。AD FSの構成によっては、AD FSセッションの持続性に応じて、セキュリティ上の理由からSnapCenter でユーザ認証が必要になる場合があります。
-
コマンドレットで使用できるパラメータとその説明は、を実行して確認できます
Get-Help command_name
。または、を参照することもできます "SnapCenter ソフトウェアコマンドレットリファレンスガイド"。
-
Windows Active Directoryフェデレーションサービス(AD FS)がそれぞれのドメインで稼働している必要があります。
-
Azure MFA、Cisco Duoなど、AD FSがサポートする多要素認証サービスが必要です。
-
SnapCenter およびAD FSサーバのタイムスタンプは、タイムゾーンに関係なく同じである必要があります。
-
SnapCenter サーバの認証済みCA証明書を取得して設定します。
CA証明書は、次の理由で必須です。
-
自己署名証明書はノードレベルで一意であるため、ADFS-F5通信が切断されないようにします。
-
スタンドアロン構成またはハイアベイラビリティ構成でのアップグレード、修復、またはディザスタリカバリ(DR)の実行時に、自己署名証明書が再作成されないようにしてMFAの再設定を回避します。
-
IP-FQDNの解決を保証します。
CA証明書の詳細については、を参照してください "CA 証明書 CSR ファイルを生成します"。
-
-
Active Directoryフェデレーションサービス(AD FS)ホストに接続します。
-
AD FSフェデレーションメタデータファイルをからダウンロードします "https://<host Fqdn>/FederationMetadata/2007-06/FederationMetadata.xml」を参照してください。
-
ダウンロードしたファイルをSnapCenter サーバにコピーしてMFA機能を有効にします。
-
PowerShellを使用して、SnapCenter 管理者ユーザとしてSnapCenter サーバにログインします。
-
PowerShellセッションを使用して、_New-SmMultifactorAuthenticationMetadata-path_cmdletを使用して、SnapCenter MFAメタデータファイルを生成します。
pathパラメータでは、SnapCenter サーバホストにMFAメタデータファイルを保存するパスを指定します。
-
生成されたファイルをAD FSホストにコピーし、SnapCenter をクライアントエンティティとして設定します。
-
を使用して、SnapCenter サーバのMFAを有効にします
Set-SmMultiFactorAuthentication -Enable -Path
コマンドレット。pathパラメータでは、手順3でSnapCenter サーバにコピーされたAD FS MFAメタデータXMLファイルの場所を指定します。
-
(オプション)を使用して、MFAの設定のステータスと設定を確認します
Get-SmMultiFactorAuthentication
コマンドレット。 -
Microsoft管理コンソール(MMC)に移動し、次の手順を実行します。
-
[ファイル>*スナップインの追加と削除*]をクリックします。
-
[ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。
-
[ 証明書 ] スナップインウィンドウで、 [Computer account] オプションを選択し、 [ 完了 *] をクリックします。
-
[コンソールルート]>[証明書–ローカルコンピューター]>[個人]>[証明書]の順にクリックします。
-
SnapCenter にバインドされているCA証明書を右クリックし、すべてのタスク>*秘密鍵の管理*を選択します。
-
許可ウィザードで、次の手順を実行します。
-
[ 追加( Add ) ] をクリックします。
-
[場所]*をクリックし、該当するホスト(階層の最上位)を選択します。
-
「場所」ポップアップウィンドウで「* OK」をクリックします。
-
[オブジェクト名]フィールドに「IIS_IUSRS」と入力し、[名前の確認]をクリックして、[OK]をクリックします。
チェックが正常に終了したら、* OK *をクリックします。
-
-
-
AD FSホストで、AD FS管理ウィザードを開き、次の手順を実行します。
-
[証明書利用者信頼(Rel証明 書利用者信頼)]>[証明書利用者信頼の追加(Add Rel証明 書利用者信頼)]>[開始
-
2番目のオプションを選択してSnapCenter MFAメタデータファイルを参照し、*次へ*をクリックします。
-
表示名を指定し、*次へ*をクリックします。
-
必要に応じてアクセス制御ポリシーを選択し、*[Next]*をクリックします。
-
次のタブでデフォルトに設定を選択します。
-
[ 完了 ] をクリックします。
指定した表示名の証明書利用者としてSnapCenter が反映されるようになりました。
-
-
名前を選択し、次の手順を実行します。
-
[クレーム発行ポリシーの編集]をクリックします。
-
[ルールの追加]をクリックし、[次へ]をクリックします。
-
クレームルールの名前を指定します。
-
属性ストアとして「* Active Directory *」を選択します。
-
属性として「* User-Principal-Name 」を選択し、発信クレームタイプとして「 Name-ID *」を選択します。
-
[ 完了 ] をクリックします。
-
-
ADFSサーバで次のPowerShellコマンドを実行します。
Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None
Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None
-
メタデータが正常にインポートされたことを確認するには、次の手順を実行します。
-
証明書利用者信頼を右クリックし、* Properties *を選択します。
-
[エンドポイント]、[識別子]、および[署名]フィールドに値が入力されていることを確認します
-
-
すべてのブラウザタブを閉じ、ブラウザを再度開いて既存またはアクティブなセッションCookieをクリアし、再度ログインします。
SnapCenter MFA機能は、REST APIを使用して有効にすることもできます。
トラブルシューティング情報については、を参照してください "複数のタブで同時にログインを試行すると、MFAエラーが表示されます"。
AD FS MFAメタデータを更新します
AD FSサーバでアップグレード、CA証明書の更新、DRなどの変更が行われた場合は、SnapCenter でAD FS MFAメタデータを更新する必要があります。
-
AD FSフェデレーションメタデータファイルをからダウンロードします "https://<host fqdn>/FederationMetadata/2007-06/FederationMetadata.xml"
-
ダウンロードしたファイルをSnapCenter サーバにコピーしてMFA設定を更新します。
-
次のコマンドレットを実行して、SnapCenter 内のAD FSメタデータを更新します。
Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>
-
すべてのブラウザタブを閉じ、ブラウザを再度開いて既存またはアクティブなセッションCookieをクリアし、再度ログインします。
SnapCenter MFAメタデータを更新します
ADFSサーバで修復、CA証明書の更新、DRなどに変更があった場合は、AD FSでSnapCenter MFAメタデータを更新する必要があります。
-
AD FSホストで、AD FS管理ウィザードを開き、次の手順を実行します。
-
[証明書利用者信頼]をクリックします。
-
SnapCenter 用に作成された証明書利用者信頼を右クリックし、*削除*をクリックします。
ユーザが定義した証明書利用者信頼の名前が表示されます。
-
多要素認証(MFA)を有効にします。
を参照してください "多要素認証を有効にします"。
-
-
すべてのブラウザタブを閉じ、ブラウザを再度開いて既存またはアクティブなセッションCookieをクリアし、再度ログインします。
多要素認証(MFA)を無効にする
-
MFAを無効にし、を使用してMFAを有効にしたときに作成された構成ファイルをクリーンアップします
Set-SmMultiFactorAuthentication -Disable
コマンドレット。 -
すべてのブラウザタブを閉じ、ブラウザを再度開いて既存またはアクティブなセッションCookieをクリアし、再度ログインします。