ONTAP System ManagerでSAML認証を有効にするための前提条件を教えてください。
環境
- ONTAP System Manager 9.3以降
- Security Assertion Markup Language(SAML)
回答
サポートされるIdPサーバ
- Microsoft Active Directoryフェデレーションサービス(ADFS)
- Azure AD
- オープンソースの シボレス
- ONTAP 9.12.1以降を搭載したCisco Duo
請求ルール | Value |
---|---|
sam-account-name | 名前ID |
sam-account-name | URN:OID:0.9.2342.19200300.100.1.1 |
名前の形式 | urn:oasis:names:tc:saml:2.0:attrname-format:uri |
トークングループ–修飾されていない名前 | URN:OID:1.3.6.1.4.1.5923.1.5.1.1 |
注: 前述の請求ルールは、IdPサーバで設定/設定する必要があります。
- IdPサーバのセットアップはIdP管理者が行いますが、NetAppサポートはこのプロセスには関与しません。
ポート、ローカルユーザのセットアップおよびその他の設定
- ONTAPクラスタとIdPサーバの間でポート443または80が開いている必要があります。
- ONTAPクラスタのRemote LAN Module(RLM)またはサービスプロセッサ(SP)のコンソールへのアクセス
- IdPの設定が正しくないと管理ユーザはSystem Managerにログインできなくなります
- クラスタ管理LIFからSAMLを無効にすることはできません。SAMLはRLM コンソールまたはSPコンソールから無効にする必要があります。
- クラスタに設定されているActive Directoryドメイングループは現在SAMLで機能しません
- ONTAP CLIを使用したONTAPクラスタへのSAMLドメインユーザの追加
注:
- ONTAP では大文字と小文字が区別される
- sAMAccountName (Domain\Username)を使用する必要はなく、 ユーザ名を使用するだけです。
user@domain
IdPから取得したユーザ名を使用するために、のようなユーザ名のパターンを使用する必要がある場合もあります。
- 例1:
Active Directoryドメインユーザ名が john で大文字が Jの場合は、ONTAPクラスタに同じ名前のSAMLユーザを追加します。
cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin
- 例2:
Active Directoryドメインユーザ名が John で大文字が Hの場合。
cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin
DNS
- クラスタからIdPサーバの完全修飾ドメイン名にpingを送信できる必要があります。
::> dns hosts show
::> ping <IDP_server_name>
- IdPサーバからクラスタ管理LIFまたはクラスタ完全修飾ドメイン名にpingを送信できる必要があります。
IdP server CLI --> ping <cluster_FQDN>
- クラスタ証明書の有効期限が切れていないことを確認してください
::> security certificate show -vserver <cluster_name> -common-name <clustername>
IdP (アイデンティティプロバイダ)URL
- ADFSまたはShibbolethサーバからIdP URLを取得する
- Okta とPingフェデレーションは正常に設定されていますが、NetApp内ではテストされていません。
- このURLは、ONTAP System ManagerでSAMLを設定するために必要です。
- Okta URLに トークングループの未修飾名を含めることはできません
正しいURL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
間違ったURL -- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata
- pingフェデレーションURLは次のようになります。
https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn