ONTAP System ManagerでSAML認証を有効にするための前提条件を教えてください。

最後の更新
PDFとして保存

Views:: 143

Visibility:: Public

Votes:: 0

Category:: ontap-system-manager

Specialty:: om

Last Updated:

環境

ONTAP System Manager 9.3以降
Security Assertion Markup Language（SAML）

回答

サポートされるIdPサーバ

Microsoft Active Directoryフェデレーションサービス（ADFS）
Azure AD
- Azure ADをIdPとして使用し、ONTAP System ManagerでSAML認証を設定する方法
オープンソースの シボレス
ONTAP 9.12.1以降を搭載したCisco Duo

請求ルール	Value
sam-account-name	名前ID
sam-account-name	URN：OID：0.9.2342.19200300.100.1.1
名前の形式	urn:oasis:names:tc:saml:2.0:attrname-format:uri
トークングループ–修飾されていない名前	URN：OID：1.3.6.1.4.1.5923.1.5.1.1

注：前述の請求ルールは、IdPサーバで設定/設定する必要があります。

IdPサーバのセットアップはIdP管理者が行いますが、NetAppサポートはこのプロセスには関与しません。

ポート、ローカルユーザのセットアップおよびその他の設定

ONTAPクラスタとIdPサーバの間でポート443または80が開いている必要があります。
ONTAPクラスタのRemote LAN Module（RLM）またはサービスプロセッサ（SP）のコンソールへのアクセス
- IdPの設定が正しくないと管理ユーザはSystem Managerにログインできなくなります
- クラスタ管理LIFからSAMLを無効にすることはできません。SAMLはRLM コンソールまたはSPコンソールから無効にする必要があります。
クラスタに設定されているActive Directoryドメイングループは現在SAMLで機能しません
ONTAP CLIを使用したONTAPクラスタへのSAMLドメインユーザの追加

注：

ONTAP では大文字と小文字が区別される
sAMAccountName （Domain\Username）を使用する必要はなく、 ユーザ名を使用するだけです。
user@domain IdPから取得したユーザ名を使用するために、のようなユーザ名のパターンを使用する必要がある場合もあります。

例1：

Active Directoryドメインユーザ名が john で大文字が Jの場合は、ONTAPクラスタに同じ名前のSAMLユーザを追加します。

cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin

例2：

Active Directoryドメインユーザ名が John で大文字が Hの場合。

cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin

DNS

クラスタからIdPサーバの完全修飾ドメイン名にpingを送信できる必要があります。

::> dns hosts show

::> ping <IDP_server_name>

IdPサーバからクラスタ管理LIFまたはクラスタ完全修飾ドメイン名にpingを送信できる必要があります。

IdP server CLI --> ping <cluster_FQDN>

クラスタ証明書の有効期限が切れていないことを確認してください

::> security certificate show -vserver <cluster_name> -common-name <clustername>

IdP （アイデンティティプロバイダ）URL

ADFSまたはShibbolethサーバからIdP URLを取得する
- Okta とPingフェデレーションは正常に設定されていますが、NetApp内ではテストされていません。
- このURLは、ONTAP System ManagerでSAMLを設定するために必要です。
Okta URLに トークングループの未修飾名を含めることはできません

正しいURL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
間違ったURL -- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata

pingフェデレーションURLは次のようになります。

https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn