マルチファクタ認証の設定

エレメント API を使用してこれらの基本的な手順を実行すると、マルチファクタ認証を使用するようにクラスタを設定できます。各APIメソッドの詳細については、『NetApp Element APIリファレンス ガイド』を参照してください。

手順

  1. 次の API メソッドを呼び出し、 IdP メタデータを JSON 形式で渡して、クラスタの新しいサードパーティ ID プロバイダ( IdP )設定を作成します。 CreateIdpConfiguration

    IdP メタデータは、プレーンテキスト形式で、サードパーティの IdP から取得されます。このメタデータは、 JSON 形式で正しくフォーマットされるように検証する必要があります。使用できる JSON フォーマッタアプリケーションhttps://freeformatter.com/json-escape.htmlは多数あります。たとえば、次のようになります。

  2. 次の API メソッドを呼び出して、 spMetadataURL を使用してクラスタメタデータを取得し、サードパーティの IdP にコピーします。 ListIdpConfigurations

    spMetadataURL は、信頼関係を確立するために、 IdP のクラスタからサービスプロバイダーメタデータを取得するために使用される URL です。

  3. サードパーティの IdP で SAML アサーションを設定して、監査ログ用のユーザを一意に識別し、単一のログアウトが正しく機能するように「 nameID 」属性を含めます。
  4. 次の API メソッドを呼び出して、サードパーティ製の IdP で認証された 1 つ以上のクラスタ管理者ユーザアカウントを作成し、認可を受けます。 AddIdpClusterAdmin
    注: IdP クラスタ管理者のユーザ名は、次の例に示すように、目的の効果の SAML 属性名 / 値マッピングと一致する必要があります。
    • email=bob@company.com : SAML 属性の電子メールアドレスを解放するように IdP を設定します。
    • group=cluster-administrator :すべてのユーザがアクセスできるグループプロパティを解放するように IdP を設定します。
    SAML 属性名と値のペアは、セキュリティ上の理由から大文字と小文字が区別されることにも注意してください。
  5. 次の API メソッドを呼び出して、クラスタの MFA を有効にします。 EnableIdpAuthentication