本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。
SnapCenter Software 5 マニュアル ( CA08871-403 )
PowerShell、SCCLI、REST APIを使用したSnapCenter ServerでのMFAの設定
SnapCenter ServerでMFAを構成するには、PowerShell、SCCLI、およびREST APIを使用します。
SnapCenter MFA CLI認証
PowerShellとSCCLIでは、既存のコマンドレット (Open-SmConnection) が"AccessToken"という1つのフィールドで拡張され、ベアラートークンを使用してユーザーを認証します。
Open-SmConnection -Credential <PSCredential> [-SMSbaseUrl <String>] [-Port <String>] [-RoleName <String>] [ -AccessToken <string>]
上記のコマンドレットを実行すると、各ユーザーがさらにSnapCenterコマンドレットを実行するためのセッションが作成されます。
SnapCenter MFA REST API認証
REST APIクライアント (Postmanやswaggerなど) で_Authorization=Bearer<access token>_の形式でベアラートークンを使用し、ヘッダーでユーザーRoleNameを指定してSnapCenterから正常な応答を取得します。
MFA REST APIのワークフロー
MFAがAD FSで設定されている場合、REST APIを使用してSnapCenterアプリケーションにアクセスするには、アクセス(Bearer)トークンを使用して認証する必要があります。
タスク概要
-
Postman、Swagger UI、FireCampなどの任意のRESTクライアントを使用できます。
-
アクセストークンを取得し、それを使用して後続の要求 (SnapCenter Rest API) を認証し、任意の操作を実行します。
手順
AD FS MFAを介して認証する
-
AD FSエンドポイントを呼び出してアクセス トークンを取得するようにRESTクライアントを設定します。
ボタンを押してアプリケーションのアクセス トークンを取得すると、AD FS SSOページにリダイレクトされます。そのページでADクレデンシャルを入力してMFAで認証する必要があります。 1. AD FS SSOページで、[ユーザー名]テキスト ボックスにユーザー名または電子メールを入力します。
+ ユーザー名は、user@domainまたはdomain\userの形式にする必要があります。
-
テキストボックスにパスワードを入力します。
-
*ログイン*をクリックします。
-
セクションで、認証オプションを選択し、 (構成に応じて) 認証します。
-
プッシュ:電話機に送信されるプッシュ通知を承認します。
-
QRコード:AUTH Pointモバイルアプリを使用してQRコードをスキャンし、アプリに表示されている確認コードを入力します。
-
ワンタイムパスワード:トークンのワンタイムパスワードを入力します。
-
-
認証に成功すると、Access、ID、およびRefresh Tokenを含むポップアップが開きます。
アクセストークンをコピーし、SnapCenter REST APIで使用して操作を実行します。
-
Rest APIでは、ヘッダーセクションでアクセストークンとロール名を渡す必要があります。
-
SnapCenterは、AD FSからこのアクセストークンを検証します。
有効なトークンの場合、SnapCenterはそのトークンをデコードし、ユーザー名を取得します。
-
SnapCenterは、ユーザー名とロール名を使用して、API実行のユーザーを認証します。
認証に成功した場合、SnapCenterは結果を返します。失敗した場合は、エラー メッセージが表示されます。
REST API、CLI、GUIのSnapCenter MFA機能の有効化または無効化
GUI
手順
-
SnapCenter管理者としてSnapCenter Serverにログインします。
-
[Settings] > [Global Settings] > [MultiFactorAuthentication(MFA) Settings]をクリックします。
-
インターフェイス(GUI / RST API / CLI)を選択してMFAログインを有効または無効にします。
PowerShellインターフェイス
手順
-
GUI、REST API、PowerShell、SCCLIのMFAを有効にするためのPowerShellコマンドまたはCLIコマンドを実行します。
Set-SmMultiFactorAuthentication -IsGuiMFAEnabled -IsRestApiMFAEnabled-IsCliMFAEnabled -Pathpathパラメーターは、AD FS MFAメタデータxmlファイルの場所を指定します。
指定したAD FSメタデータファイルパスで構成されたSnapCenter GUI、Rest API、PowerShell、およびSCCLIのMFAを有効にします。
-
Get-SmMultiFactorAuthenticationコマンドレットを使用して、MFAの設定ステータスと設定を確認します。
SCCLIインターフェイス
手順
-
# sccli Set-SmMultiFactorAuthentication -IsGuiMFAEnabled true -IsRESTAPIMFAEnabled true -IsCliMFAEnabled true -Path "C:\ADFS_metadata\abc.xml -
# sccli Get-SmMultiFactorAuthentication
REST API
-
GUI、REST API、PowerShell、SCCLIのMFAを有効にするには、次のPOST APIを実行します。
パラメーター
バリュー
要求のURL
/api/4.9/settings/multifactorauthentication
HTTPメソッド
投稿
要求の本文
{ "IsGuiMFAEnabled": false, "IsRestApiMFAEnabled": true, "IsCliMFAEnabled": false, "ADFSConfigFilePath": "C:\\ADFS_metadata\\abc.xml" }
応答の本文
{ "MFAConfiguration": { "IsGuiMFAEnabled": false, "ADFSConfigFilePath": "C:\\ADFS_metadata\\abc.xml", "SCConfigFilePath": null, "IsRestApiMFAEnabled": true, "IsCliMFAEnabled": false, "ADFSHostName": "win-adfs-sc49.winscedom2.com" } }
-
次のAPIを使用して、MFAのステータスと設定を確認します。
パラメーター
値
要求のURL
/api/4.9/settings/multifactorauthentication
HTTPメソッド
Get
応答の本文
{ "MFAConfiguration": { "IsGuiMFAEnabled": false, "ADFSConfigFilePath": "C:\\ADFS_metadata\\abc.xml", "SCConfigFilePath": null, "IsRestApiMFAEnabled": true, "IsCliMFAEnabled": false, "ADFSHostName": "win-adfs-sc49.winscedom2.com" } }
