SnapCenter Software 4.9
Configure MFA in SnapCenter Server using PowerShell, SCCLI, and REST API
SnapCenter ServerでMFAを構成するには、PowerShell、SCCLI、およびREST APIを使用します。
SnapCenter MFA CLI認証
PowerShellとSCCLIでは、既存のコマンドレット (Open-SmConnection) が"AccessToken"という1つのフィールドで拡張され、ベアラートークンを使用してユーザーを認証します。
Open-SmConnection -Credential <PSCredential> [-SMSbaseUrl <String>] [-Port <String>] [-RoleName <String>] [ -AccessToken <string>]
上記のコマンドレットを実行すると、各ユーザーがさらにSnapCenterコマンドレットを実行するためのセッションが作成されます。
SnapCenter MFA Rest API認証
REST APIクライアント (Postmanやswaggerなど) で_Authorization=Bearer<access token>_の形式でベアラートークンを使用し、ヘッダーでユーザーRoleNameを指定してSnapCenterから正常な応答を取得します。
MFA Rest APIワークフロー
MFAがAD FSで構成されている場合は、アクセス (ベアラー) トークンを使用して認証し、Rest APIによってSnapCenterアプリケーションにアクセスする必要があります。
このタスクについて
-
Postman、Swagger UI、FireCampなどの任意のRESTクライアントを使用できます。
-
アクセストークンを取得し、それを使用して後続の要求 (SnapCenter Rest API) を認証し、任意の操作を実行します。
手順
*AD FS MFA*を使用して認証するには
-
AD FSエンドポイントを呼び出してアクセストークンを取得するようにRESTクライアントを構成します。
ボタンをクリックしてアプリケーションのアクセストークンを取得すると、AD資格情報を指定してMFAで認証する必要があるAD FS SSOページにリダイレクトされます。 1. [AD FS SSO] ページで、 [ユーザー名] テキストボックスにユーザー名または電子メールを入力します。
+ ユーザー名は、user@domainまたはdomain\userの形式にする必要があります。
-
テキストボックスにパスワードを入力します。
-
*ログイン*をクリックします。
-
セクションで、認証オプションを選択し、 (構成に応じて) 認証します。
-
プッシュ:電話機に送信されるプッシュ通知を承認します。
-
QRコード:AUTH Pointモバイルアプリを使用してQRコードをスキャンし、アプリに表示されている確認コードを入力します。
-
ワンタイムパスワード:トークンのワンタイムパスワードを入力します。
-
-
認証に成功すると、Access、ID、およびRefresh Tokenを含むポップアップが開きます。
アクセストークンをコピーし、SnapCenter Rest APIで使用して操作を実行します。
-
Rest APIでは、ヘッダーセクションでアクセストークンとロール名を渡す必要があります。
-
SnapCenterは、AD FSからこのアクセストークンを検証します。
有効なトークンの場合、SnapCenterはそれをデコードし、ユーザー名を取得します。
-
SnapCenterは、ユーザー名とロール名を使用して、API実行のユーザーを認証します。
認証が成功すると、SnapCenterは結果を返します。それ以外の場合は、エラー・メッセージが表示されます。
Rest API、CLI、GUIのSnapCenter MFA機能を有効または無効にする
GUI
手順
-
Log into the SnapCenter Server as the SnapCenter Administrator.
-
Click Settings > Global Settings > MultiFactorAuthentication(MFA) Settings
-
Select the interface (GUI/RST API/CLI) to enable or disable the MFA login.
PowerShell interface
Steps
-
PowerShellまたはCLIコマンドを実行して、GUI、Rest API、PowerShell、およびSCCLIのMFAを有効にします。
Set-SmMultiFactorAuthentication -IsGuiMFAEnabled -IsRestApiMFAEnabled
-IsCliMFAEnabled -Path
pathパラメーターは、AD FS MFAメタデータxmlファイルの場所を指定します。
指定したAD FSメタデータファイルパスで構成されたSnapCenter GUI、Rest API、PowerShell、およびSCCLIのMFAを有効にします。
-
`Get-SmMultiFactorAuthentication`コマンドレットを使用して、MFA構成の状態と設定を確認します。
SCCLIインターフェイス
手順
-
# sccli Set-SmMultiFactorAuthentication -IsGuiMFAEnabled true -IsRESTAPIMFAEnabled true -IsCliMFAEnabled true -Path "C:\ADFS_metadata\abc.xml"
-
# sccli Get-SmMultiFactorAuthentication
REST API
-
Run the following post API for enabling MFA for GUI, Rest API, PowerShell, and SCCLI.
パラメータ
値
Requested URL
/api/4.9/settings/multifactorauthentication
HTTP method
Post
Request Body
{ "IsGuiMFAEnabled": false, "IsRestApiMFAEnabled": true, "IsCliMFAEnabled": false, "ADFSConfigFilePath": "C:\\ADFS_metadata\\abc.xml" }
Response Body
{ "MFAConfiguration": { "IsGuiMFAEnabled": false, "ADFSConfigFilePath": "C:\\ADFS_metadata\\abc.xml", "SCConfigFilePath": null, "IsRestApiMFAEnabled": true, "IsCliMFAEnabled": false, "ADFSHostName": "win-adfs-sc49.winscedom2.com" } }
-
Check the MFA configuration status and settings by using the following API.
パラメータ
値
Requested URL
/api/4.9/settings/multifactorauthentication
HTTP method
Get
Response Body
{ "MFAConfiguration": { "IsGuiMFAEnabled": false, "ADFSConfigFilePath": "C:\\ADFS_metadata\\abc.xml", "SCConfigFilePath": null, "IsRestApiMFAEnabled": true, "IsCliMFAEnabled": false, "ADFSHostName": "win-adfs-sc49.winscedom2.com" } }