日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

多要素認証(MFA)を有効にする

寄稿者

MFA機能を有効にするには、Active Directoryフェデレーションサービス(AD FS)サーバとSnapCenter サーバでいくつかの手順を実行する必要があります。

  • 必要なもの *

  • Windows Active Directoryフェデレーションサービス(AD FS)がそれぞれのドメインで稼働している必要があります。

  • AD FSでサポートされている多要素認証サービス(Azure MFA、Cisco Duoなど)が必要です。

  • SnapCenter およびAD FSサーバのタイムスタンプは、タイムゾーンに関係なく同じである必要があります。

  • SnapCenter サーバの認証済みCA証明書を取得して設定します。

    CA証明書は、次の理由で必須です。

    • 自己署名証明書がノードレベルで一意であるため、ADFSとF5の通信が切断されないようにします。

    • スタンドアロン構成またはハイアベイラビリティ構成でのアップグレード、修復、またはディザスタリカバリ(DR)の実行時に、自己署名証明書が再作成されないようにしてMFAの再設定を回避します。

    • IP-FQDNの解決を保証します。

      CA証明書の詳細については、を参照してください "CA 証明書 CSR ファイルを生成します"

  • このタスクについて *

  • SnapCenter は、他のアプリケーションが同じAD FSで構成されている場合にSSOベースのログインをサポートします。AD FSの構成によっては、AD FSセッションの持続性に応じて、セキュリティ上の理由からSnapCenter でユーザ認証が必要になる場合があります。

  • コマンドレットで使用できるパラメータとその説明については、 Get-Help コマンドレットを実行して確認できます。または、を参照することもできます "SnapCenter ソフトウェアコマンドレットリファレンスガイド"

  • 手順 *

    1. Active Directoryフェデレーションサービス(AD FS)ホストに接続します。

    2. AD FSフェデレーションメタデータファイルをからダウンロードします "https://<host fqdn>/FederationMetadata/2007-06/FederationMetadata.xml"

    3. ダウンロードしたファイルをSnapCenter サーバにコピーしてMFA機能を有効にします。

    4. PowerShellを使用して、SnapCenter 管理者ユーザとしてSnapCenter サーバにログインします。

    5. PowerShellセッションを使用して、_New-SmMultifactorAuthenticationMetadata-path_cmdletを使用して、SnapCenter MFAメタデータファイルを生成します。

      pathパラメータでは、SnapCenter サーバホストにMFAメタデータファイルを保存するパスを指定します。

    6. 生成されたファイルをAD FSホストにコピーし、SnapCenter をクライアントエンティティとして設定します。

    7. SnapCenter サーバのMFAを有効にするには、_Set-SmMultiFactorAuthentication -Enable-Path_cmdletを使用します。

      pathパラメータでは、手順3でSnapCenter サーバにコピーされたAD FS MFAメタデータXMLファイルの場所を指定します。

    8. (オプション)_Get-SmMultiFactorAuthentication_cmdletを使用して、MFAの設定ステータスと設定を確認します。

    9. Microsoft管理コンソール(MMC)に移動し、次の手順を実行します。

      1. [ファイル>*スナップインの追加と削除*]をクリックします。

      2. [ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。

      3. [ 証明書 ] スナップインウィンドウで、 [Computer account] オプションを選択し、 [ 完了 *] をクリックします。

      4. コンソールルート]>[証明書–ローカルコンピューター]>[個人]>[証明書]の順にクリックします。

      5. SnapCenter にバインドされているCA証明書を右クリックし、すべてのタスク>*秘密鍵の管理*を選択します。

      6. 許可ウィザードで、次の手順を実行します。

        1. [ 追加( Add ) ] をクリックします。

        2. [*Locations]をクリックし、関連するホスト(階層の最上位)を選択します。

        3. 場所」ポップアップウィンドウで「* OK」をクリックします。

        4. [オブジェクト名]フィールドに「IIS_IUSRS」と入力し、[名前の確認]をクリックして、[OK]をクリックします。

          チェックが正常に終了したら、* OK *をクリックします。

    10. AD FSホストで、AD FS管理ウィザードを開き、次の手順を実行します。

      1. [証明書利用者信頼(Rel証明 書利用者信頼)]>[証明書利用者信頼の追加(Add Rel証明 書利用者信頼)]>[開始

      2. 2番目のオプションを選択してSnapCenter MFAメタデータファイルを参照し、*次へ*をクリックします。

      3. 表示名を指定し、*次へ*をクリックします。

      4. 必要に応じて制御ポリシーを選択してアクセスし、「次へ」をクリックします。

      5. 次のタブの設定をデフォルトに設定します。

      6. [ 完了 ] をクリックします。

        指定した表示名の証明書利用者としてSnapCenter が反映されるようになりました。

    11. 名前を選択し、次の手順を実行します。

      1. クレーム発行ポリシーの編集]をクリックします。

      2. [ルールの追加]をクリックし、[次へ]をクリックします。

      3. 要求規則の名前を指定します

      4. 属性ストアとして「* Active Directory *」を選択します。

      5. 属性として「* User-Principal-Name 」を選択し、発信クレームタイプとして「 Name-ID *」を選択します。

      6. [ 完了 ] をクリックします。

    12. ADFSサーバで次のPowerShellコマンドを実行します。

      Set-AdfsRelifyPartyTrust - TargetName‘<証明書利用者の名前を表示>’-SigningCertificateRevocationCheck None

    Set-AdfsRelifyPartyTrust - TargetName‘<証明書利用者の名前を表示>-EncryptionCertificateRevocationCheck None

    1. メタデータが正常にインポートされたことを確認するには、次の手順を実行します。

      1. 証明書利用者信頼を右クリックし、* Properties *を選択します。

      2. [エンドポイント]、[識別子]、および[署名]フィールドに値が入力されていることを確認します

SnapCenter MFA機能は、REST APIを使用して有効にすることもできます。

  • 終了後 *

SnapCenter でMFA設定を有効化、更新、無効化したら、ブラウザのすべてのタブを閉じてからブラウザを再度開いてログインし直します。これにより、既存またはアクティブなセッションCookieが消去されます。

トラブルシューティングについては、を参照してください "複数のタブでのSnapCenter ログインでMFAエラーが表示される"

AD FS MFAメタデータを更新します

AD FSサーバでアップグレード、CA証明書の更新、DRなどの変更が行われた場合は、SnapCenter でAD FS MFAメタデータを更新する必要があります。

  • 手順 *

    1. AD FSフェデレーションメタデータファイルをからダウンロードします "https://<host fqdn>/FederationMetadata/2007-06/FederationMetadata.xml"

    2. ダウンロードしたファイルをSnapCenter サーバにコピーしてMFA設定を更新します。

    3. 次のコマンドレットを実行して、SnapCenter 内のAD FSメタデータを更新します。

      Set-SmMultiFactorAuthentication-Path <ADFS MFAメタデータXMLファイルの場所>

  • 終了後 *

SnapCenter でMFA設定を有効化、更新、無効化したら、ブラウザのすべてのタブを閉じてからブラウザを再度開いてログインし直します。これにより、既存またはアクティブなセッションCookieが消去されます。

SnapCenter MFAメタデータを更新します

ADFSサーバで修復、CA証明書の更新、DRなどに変更があった場合は、AD FSでSnapCenter MFAメタデータを更新する必要があります。

  • 手順 *

    1. AD FSホストで、AD FS管理ウィザードを開き、次の手順を実行します。

      1. [証明書利用者信頼]をクリックします。

      2. SnapCenter 用に作成された証明書利用者信頼を右クリックし、*削除*をクリックします。

        ユーザが定義した証明書利用者信頼の名前が表示されます。

      3. 多要素認証(MFA)を有効にします。

        を参照してください "多要素認証を有効にします"

  • 終了後 *

SnapCenter でMFA設定を有効化、更新、無効化したら、ブラウザのすべてのタブを閉じてからブラウザを再度開いてログインし直します。これにより、既存またはアクティブなセッションCookieが消去されます。

多要素認証(MFA)を無効にする

MFAを無効にし、_Set-SmMultiFactorAuthentication -Disable_cmdletを使用してMFAを有効にしたときに作成した構成ファイルをクリーンアップします。

  • 終了後 *

SnapCenter でMFA設定を有効化、更新、無効化したら、ブラウザのすべてのタブを閉じてからブラウザを再度開いてログインし直します。これにより、既存またはアクティブなセッションCookieが消去されます。