SnapCenterは、他のアプリケーションが同じAD FSで構成されている場合、SSOベースのログインをサポートします。特定のAD FS構成では、AD FSセッションの永続性に応じて、セキュリティ上の理由からSnapCenterでユーザー認証が必要になる場合があります。
コマンドレットで使用できるパラメーターとその説明に関する情報は、`Get-Help command_name`を実行して取得できます。または、https://library.netapp.com/ecm/ecm_download_file/ECMLP2886205 [SnapCenter Software Cmdlet Reference Guide^] も参照してください。

始める前に

Windows Active Directoryフェデレーションサービス（AD FS）が、それぞれのドメインで稼働している必要があります。
Azure MFAやCisco Duoなど、AD FSでサポートされている任意の多要素認証サービスが必要です。
SnapCenter ServerとAD FSサーバーのタイムスタンプは、タイムゾーンに関係なく同じにする必要があります。
SnapCenter Server用に、承認済みのCA証明書を取得して設定します。

CA証明書は、次の理由で必須です。
- 自己署名証明書はノードレベルで一意であるため、ADFSとF5間の通信が切断されないようにします。
- スタンドアロン構成または高可用性構成でのアップグレード、修復、ディザスタリカバリー（DR）の実行中に自己署名証明書が再作成されないようにして、MFAの再設定を回避します。
- IP-FQDNの解決を保証します。
  
  CA証明書の詳細については、「CA証明書CSRファイルの生成」を参照してください。

手順

Active Directoryフェデレーションサービス（AD FS）のホストに接続します。
AD FSフェデレーションメタデータファイルを「https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml」からダウンロードします。
ダウンロードしたファイルをSnapCenter Serverにコピーして、MFA機能を有効にします。
PowerShellを使用して、SnapCenter管理者ユーザーとしてSnapCenter Serverにログインします。
PowerShellセッションで、New-SmMultifactorAuthenticationMetadata -pathコマンドレットを使用して、SnapCenter MFAメタデータファイルを生成します。

pathパラメーターには、SnapCenter ServerのホストにMFAメタデータファイルを保存するためのパスを指定します。
生成されたファイルをAD FSのホストにコピーし、SnapCenterをクライアントエンティティとして設定します。
Set-SmMultiFactorAuthentication -Enable -Pathコマンドレットを使用して、SnapCenter ServerのMFAを有効にします。

pathパラメーターには、手順3でSnapCenter ServerにコピーしたAD FS MFAメタデータxmlファイルの場所を指定します。
（オプション）Get-SmMultiFactorAuthenticationコマンドレットを使用して、MFAのステータスと設定を確認します。
Microsoft管理コンソール（MMC）に移動し、次の手順を実行します。
1. [ファイル] > [スナップインの追加と削除]をクリックします。
2. [スナップインの追加と削除]ウィンドウで、[証明書]を選択し、[追加]をクリックします。
3. [証明書スナップイン]ウィンドウで、[コンピューターアカウント]オプションを選択し、[完了]をクリックします。
4. [コンソールルート] > [証明書 - ローカルコンピューター] > [パーソナル] > [証明書]をクリックします。
5. SnapCenterにバインドされているCA証明書を右クリックし、[すべてのタスク] > [秘密キーの管理]を選択します。
6. アクセス許可ウィザードで、次の手順を実行します。
  1. [追加]をクリックします。
  2. [場所]をクリックし、該当するホスト（階層の最上位）を選択します。
  3. [場所]ポップアップウィンドウで、[OK]をクリックします。
  4. [オブジェクト名]フィールドに「IIS_IUSRS」と入力し、[名前の確認]をクリックして[OK]をクリックします。
    
    確認が問題なく完了したら、[OK]をクリックします。
AD FSホストでAD FS管理ウィザードを開き、次の手順を実行します。
1. [証明書利用者信頼]を右クリックし、[証明書利用者信頼の追加] > [開始]をクリックします。
2. 2つ目のオプションを選択し、SnapCenter MFAメタデータファイルを参照したら、[次へ]をクリックします。
3. 表示名を指定し、[次へ]をクリックします。
4. 必要に応じてアクセス制御ポリシーを選択し、[次へ]をクリックします。
5. 次のタブの設定をデフォルトに設定します。
6. [完了]をクリックします。
  
  SnapCenterが、指定した表示名の証明書利用者として反映されます。
名前を選択し、次の手順を実行します。
1. [要求発行ポリシーの編集]をクリックします。
2. [規則の追加]をクリックし、[次へ]をクリックします。
3. 要求規則の名前を指定します。
4. 属性ストアとして[Active Directory]を選択します。
5. 属性として[ユーザープリンシパル名]を選択し、発信要求タイプとして[名前ID]を選択します。
6. [完了]をクリックします。
ADFSサーバーで、次のPowerShellコマンドを実行します。

Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None
次の手順を実行して、メタデータがインポートされたことを確認します。
1. 証明書利用者信頼を右クリックし、[プロパティ]を選択します。
2. [エンドポイント]、[識別子]、[署名]フィールドに値が入力されていることを確認します。

SnapCenterのMFA機能は、REST APIを使用して有効にすることもできます。

AD FS MFAメタデータの更新

アップグレード、CA証明書の更新、DRなど、AD FSサーバーに何らかの変更があった場合は、SnapCenterでAD FS MFAメタデータを更新する必要があります。

手順

AD FSフェデレーションメタデータファイルを「https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml」からダウンロードします。
"https ://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"からAD FSフェデレーションメタデータファイルをダウンロードします。
ダウンロードしたファイルをSnapCenter Serverにコピーして、MFAの設定を更新します。
次のコマンドレットを実行して、SnapCenterでAD FSメタデータを更新します。

Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>
すべてのブラウザタブを閉じ、ブラウザを再度開いて既存またはアクティブなセッションCookieをクリアし、再度ログインします。

SnapCenter MFAメタデータの更新

修復、CA証明書の更新、DRなど、ADFSサーバーに何らかの変更があった場合は、AD FSでSnapCenter MFAメタデータを更新する必要があります。

手順

AD FSホストでAD FS管理ウィザードを開き、次の手順を実行します。
1. [証明書利用者信頼]をクリックします。
2. SnapCenter用に作成した証明書利用者信頼を右クリックし、[削除]をクリックします。
  
  証明書利用者信頼のユーザー定義名が表示されます。
3. 多要素認証（MFA）を有効にします。
  
  「多要素認証（MFA）の有効化」を参照してください。
すべてのブラウザタブを閉じ、ブラウザを再度開いて既存またはアクティブなセッションCookieをクリアし、再度ログインします。

多要素認証（MFA）の無効化

MFAを無効にし、MFAを有効にした際に作成された構成ファイルをクリーンアップするには、Set-SmMultiFactorAuthentication -Disableコマンドレットを使用します。

すべてのブラウザタブを閉じ、ブラウザを再度開いて既存またはアクティブなセッションCookieをクリアし、再度ログインします。