ONTAP System ManagerでSAML認証を有効にするための前提条件は何ですか?
環境
- ONTAP System Manager 9.3以降
- Security Assertion Markup Language(SAML)
回答
サポートされている IdP サーバ
- Microsoft Active Directory Federated Services(ADFS)
- オープンソースShibboleth
- ONTAP 9.12.1以降のCisco DUO
- ONTAP 9.17.1以降のMicrosoft Entra ID
| クレームルール | Value |
|---|---|
| SAM-account-name | Name ID |
| SAM-account-name | urn:oid:0.9.2342.19200300.100.1.1 |
| 名前形式 | urn:oasis:names:tc:SAML:2.0:attrname-format:uri |
| Token groups – Unqualified Name | urn:oid:1.3.6.1.4.1.5923.1.5.1.1 |
注: 上記のclaimルールは、IdPサーバで設定/setupする必要があります。
- IdPサーバのセットアップはIdP管理者が行い、NetApp Supportはこのプロセスに関与しません。
ポート、ローカルユーザのセットアップおよびその他の設定
- ONTAPクラスタとIdPサーバ間でポート443または80を開く必要があります
- Remote LAN Module(RLM)またはService Processor(SP)コンソールへのONTAPクラスタのアクセス
- IdPが誤って構成されている場合、管理ユーザはSystem Managerにログインできません
- クラスタ管理LIFからSAMLを無効にすることはできません。SAMLはRLMまたはSPコンソールから無効にする必要があります。
- クラスタ上に設定されたActive Directory Domain Groupsは、ONTAP 9.14.1以降でSAMLと連携します。
- SAMLでActive Directory Domain Groupsを使用するには、グループはdomain認証方式で追加する必要があります。
security login create -user-or-group-name <domain_group_name> -application http -authentication-method domain -role admin
security login create -user-or-group-name <domain_group_name> -application ontapi -authentication-method domain -role admin - Active Directory Group namesはcase-sensitiveです。
- SAMLでActive Directory Domain Groupsを使用するには、グループはdomain認証方式で追加する必要があります。
- ONTAP CLIを使用してONTAPクラスタにSAMLドメインユーザを追加する
注:
- ONTAPは大文字と小文字を区別します
- sAMAccountName(Domain\Username)を使用する必要はなく、usernameを使用するだけで十分です
- 場合によっては、IdPから取得されるため、
user@domainのようなユーザ名パターンを使用する必要があります - 例1:
Active Directory Domain Usernameが John で大文字の Jの場合、同じ名前でSAMLユーザをONTAPクラスタに追加します。
cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin
- 例 2:
Active Directory Domain Usernameが joHn で、大文字は Hです。
cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin
DNS
- クラスタはIdPサーバの完全修飾ドメイン名にpingを実行できる必要があります
::> dns hosts show
::> ping <IDP_server_name>
- IdPサーバは、クラスタ管理lifまたはクラスタfully qualified domain nameにpingを実行できる必要があります
IdP server CLI --> ping <cluster_FQDN>
- クラスタ証明書が有効期限切れでないことを確認します
::> security certificate show -vserver <cluster_name> -common-name <clustername>
IdP(Identity provider)URL
- ADFSまたはShibbolethサーバからIdP URLを取得します
- OKTAおよびPing Federateは正常に設定されましたが、NetApp内ではテストされていません。
- このURLは、ONTAP System ManagerでSAMLを設定する際に必要です。
- OkTA URLにはToken groups Unqualified nameを含めないでください
正しい URL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
不正な URL -- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata
- Ping Federate URL は次のようになります。
https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn