エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

SAML 認証の設定

WebサービスにSecurity Assertion Markup Language(SAML)認証を設定できます。SAML認証を設定して有効にすると、Active DirectoryやLDAPなどのディレクトリー サービス プロバイダーではなく、外部のアイデンティティー プロバイダー(IdP)によってユーザーが認証されます。

SAML認証の有効化

ONTAP System ManagerまたはCLIを使用してSAML認証を有効にするには、次の手順を実行します。クラスタでONTAP 9.7が実行されている場合は、ONTAP System Managerで実行する手順が異なります。使用しているシステムで利用可能なONTAP System Managerのオンライン ヘルプを参照してください。

SAML認証を有効にした場合、ONTAP System ManagerのGUIにアクセスできるのはリモート ユーザーだけです。ローカル ユーザーはONTAP System ManagerのGUIにアクセスできません。

Workflow diagram of task to set up multfactor authentication with SAML

開始する前に
  • リモート認証に使用するIdPを設定する必要があります。

    設定済みのIdPから提供されたドキュメントを参照してください。

  • IdPのURIが必要です。

タスク概要
  • SAML認証は、httpアプリケーションとontapiアプリケーションにのみ適用されます。

    httpアプリケーションとontapiアプリケーションは、次のWebサービスで使用されます:サービス プロセッサー インフラストラクチャー、ONTAP API、またはONTAP System Manager。

  • SAML認証は、管理SVMへのアクセス時にのみ適用できます。

ONTAP System Managerでは、次のIdPが検証済みです。

  • Active Directoryフェデレーション サービス

  • Cisco Duo(次のONTAPバージョンで検証済み)

    • 9.8P17以降の9.8リリース

    • 9.9.1P13以降の9.9リリース

    • 9.10.1P9以降の9.10リリース

    • 9.11.1P4以降の9.11リリース

    • 9.12.1以降のリリース

  • Shibboleth

環境に応じて、次の手順を実行します。

Example 1. 手順
ONTAP System Manager
  1. [クラスタ] > [設定]をクリックします。

  2. [SAML 認証]の横のgear iconをクリックします。

  3. [Enable 認証を有効にする]チェックボックスがオンになっていることを確認します。

  4. IdP URIのURLを「https://」から入力します。

  5. 必要に応じて、ホスト システムのアドレスを変更します。

  6. 正しい証明書が使用されていることを確認します。

    • システムに「サーバ」タイプの証明書が1つだけ適用されている場合、その証明書はデフォルトとみなされ、画面には表示されません。

    • システムに「サーバ」タイプの証明書が複数適用されている場合は、そのうちの1つが表示されます。 別の証明書を選択するには、[変更]をクリックします。

  7. [保存]をクリックします。確認画面にメタデータ情報が表示され、クリップボードに自動的にコピーされます。

  8. 指定したIdPシステムに移動し、クリップボードからメタデータをコピーしてシステムのメタデータを更新します。

  9. 確認画面(ONTAP System Manager)に戻り、[ホスト URI またはメタデータで IdP を設定しました]チェックボックスをオンにします。

  10. [Logout]をクリックしてSAMLベースの認証を有効にします。 IdPシステムの認証画面が表示されます。

  11. IdPシステムで、SAMLベースのクレデンシャルを入力します。クレデンシャルが確認されると、ONTAP System Managerのホーム ページが表示されます。

CLI
  1. SAMLの設定を作成して、ONTAPがIdPメタデータにアクセスできるようにします。

    security saml-sp create -idp-uri idp_uri -sp-host ontap_host_name

    idp_uriは、IdPメタデータのダウンロード元であるIdPホストのFTPアドレスまたはHTTPアドレスです。

    ontap_host_nameは、SAMLサービス プロバイダー(ここではONTAPシステム)のホストのホスト名またはIPアドレスです。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。

    必要に応じて、ONTAPサーバー証明書の情報を指定できます。デフォルトでは、ONTAP Webサーバー証明書の情報が使用されます。

    cluster_12::> security saml-sp create -idp-uri https://example.url.net/idp/shibboleth
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 179] Job succeeded: Access the SAML SP metadata using the URL:
    https://10.0.0.1/saml-sp/Metadata
    
    Configure the IdP and Data ONTAP users for the same directory server domain to ensure that users are the same for different authentication methods. See the "security login show" command for the Data ONTAP user configuration.

    ONTAPホスト メタデータにアクセスするためのURLが表示されます。

  2. IdPホストから、ONTAPホスト メタデータを使用してIdPを設定します。

    IdPの設定の詳細については、IdPのマニュアルを参照してください。

  3. SAMLの設定を有効にします。

    security saml-sp modify -is-enabled true

    httpアプリケーションまたはontapiアプリケーションにアクセスする既存のユーザーがSAML認証用に自動的に設定されます。

  4. SAMLの設定後にhttpアプリケーションまたはontapiアプリケーション用のユーザーを作成する場合は、新しいユーザーの認証方式としてSAMLを指定します。

    1. SAML認証を使用して新しいユーザーのログイン方法を作成します。 + security login create -user-or-group-name user_name -application [http | ontapi] -authentication-method saml -vserver svm_name

      cluster_12::> security login create -user-or-group-name admin1 -application http -authentication-method saml -vserver  cluster_12
    2. ユーザー エントリが作成されたことを確認します。

      security login show

      cluster_12::> security login show
      
      Vserver: cluster_12
                                                                       Second
      User/Group                 Authentication                 Acct   Authentication
      Name           Application Method        Role Name        Locked Method
      -------------- ----------- ------------- ---------------- ------ --------------
      admin          console     password      admin            no     none
      admin          http        password      admin            no     none
      admin          http        saml          admin            -      none
      admin          ontapi      password      admin            no     none
      admin          ontapi      saml          admin            -      none
      admin          service-processor
                                 password      admin            no     none
      admin          ssh         password      admin            no     none
      admin1         http        password      backup           no     none
      **admin1       http        saml          backup           -      none**

SAML認証の無効化

外部のアイデンティティー プロバイダー(IdP)を使用してWebユーザーの認証を停止する場合は、SAML認証を無効にすることができます。SAML認証が無効な場合は、Active DirectoryやLDAPなどの設定済みのディレクトリー サービス プロバイダーが認証に使用されます。

環境に応じて、次の手順を実行します。

Example 2. 手順
ONTAP System Manager
  1. [クラスタ] > [設定]をクリックします。

  2. [SAML 認証]で、[Enabled]トグル ボタンをクリックします。

  3. オプション: [SAML 認証]の横のgear iconをクリックし、[Enable 認証を有効にする]チェックボックスをオフにすることもできます。

CLI
  1. SAML認証を無効にします。

    security saml-sp modify -is-enabled false

  2. SAML認証を使用しなくなった場合やIdPを変更する場合は、SAMLの設定を削除します。

    security saml-sp delete

SAMLの設定に関する問題のトラブルシューティング

Security Assertion Markup Language(SAML)認証の設定に失敗した場合は、SAMLの設定に失敗した各ノードを手動で修復して、障害からリカバリーできます。修復プロセスの実行中は、Webサーバーが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。

タスク概要

SAML認証の設定時に、ONTAPはSAMLの設定をノード単位で適用します。SAML認証を有効にすると、ONTAPは設定の問題がある場合に自動的に各ノードを修復しようとします。いずれかのノードでSAMLの設定に関する問題がある場合は、SAML認証を無効にしてから再度有効にすることができます。SAML認証を再度有効にしたあとでも、1つ以上のノードにSAMLの設定を適用できない場合があります。SAMLの設定に失敗したノードを特定し、そのノードを手動で修復できます。

手順
  1. advanced権限レベルでログインします。

    set -privilege advanced

  2. SAMLの設定に失敗したノードを特定します。

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: config-failed
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text: SAML job failed, Reason: Internal error. Failed to receive the SAML IDP Metadata file.
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
  3. 障害が発生したノードでSAMLの設定を修復します。

    security saml-sp repair -node node_name

    cluster_12::*> security saml-sp repair -node node2
    
    Warning: This restarts the web server. Any HTTP/S connections that are active
             will be disrupted.
    Do you want to continue? {y|n}: y
    [Job 181] Job is running.
    [Job 181] Job success.

    Webサーバーが再起動され、アクティブなHTTP接続またはHTTPS接続が中断されます。

  4. すべてのノードでSAMLが正常に設定されたことを確認します。

    security saml-sp status show -instance

    cluster_12::*> security saml-sp status show -instance
    
                             Node: node1
                    Update Status: config-success
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 179
    
                             Node: node2
                    Update Status: **config-success**
                   Database Epoch: 9
       Database Transaction Count: 997
                       Error Text:
    SAML Service Provider Enabled: false
            ID of SAML Config Job: 180
    2 entries were displayed.
関連情報

ONTAP 9のコマンド

Top of Page