メインコンテンツまでスキップ

ONTAP System ManagerでSAML認証を有効にするための前提条件を教えてください。

Views:
150
Visibility:
Public
Votes:
0
Category:
ontap-system-manager
Specialty:
om
Last Updated:

環境

  • ONTAP System Manager 9.3以降
  • Security Assertion Markup Language(SAML)

回答

サポートされるIdPサーバ
請求ルール Value
sam-account-name 名前ID
sam-account-name URN:OID:0.9.2342.19200300.100.1.1
名前の形式 urn:oasis:names:tc:saml:2.0:attrname-format:uri
トークングループ–修飾されていない名前 URN:OID:1.3.6.1.4.1.5923.1.5.1.1

注:  前述の請求ルールは、IdPサーバで設定/設定する必要があります。

  • IdPサーバのセットアップはIdP管理者が行いますが、NetAppサポートはこのプロセスには関与しません。
ポート、ローカルユーザのセットアップおよびその他の設定
  • ONTAPクラスタとIdPサーバの間でポート443または80が開いている必要があります。
  •   ONTAPクラスタのRemote LAN Module(RLM)またはサービスプロセッサ(SP)のコンソールへのアクセス 
    • IdPの設定が正しくないと管理ユーザはSystem Managerにログインできなくなります
    • クラスタ管理LIFからSAMLを無効にすることはできません。SAMLはRLM コンソールまたはSPコンソールから無効にする必要があります。 
  • クラスタに設定されているActive Directoryドメイングループは現在SAMLで機能しません
  •  ONTAP CLIを使用したONTAPクラスタへのSAMLドメインユーザの追加

  • ONTAP では大文字と小文字が区別される
  • sAMAccountName (Domain\Username)を使用する必要はなく、 ユーザ名を使用するだけです。
  • user@domain IdPから取得したユーザ名を使用するために、のようなユーザ名のパターンを使用する必要がある場合もあります。

 

  • 例1

Active Directoryドメインユーザ名が john で大文字が Jの場合は、ONTAPクラスタに同じ名前のSAMLユーザを追加します。

cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin

  • 例2

Active Directoryドメインユーザ名が John で大文字が Hの場合

cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin

DNS
  • クラスタからIdPサーバの完全修飾ドメイン名にpingを送信できる必要があります。

::> dns hosts show

::> ping <IDP_server_name>

  • IdPサーバからクラスタ管理LIFまたはクラスタ完全修飾ドメイン名にpingを送信できる必要があります。

IdP server CLI --> ping <cluster_FQDN>

  • クラスタ証明書の有効期限が切れていないことを確認してください

::> security certificate show -vserver <cluster_name> -common-name <clustername>

IdP (アイデンティティプロバイダ)URL
  • ADFSまたはShibbolethサーバからIdP URLを取得する
    • Okta とPingフェデレーションは正常に設定されていますが、NetApp内ではテストされていません。
    • このURLは、ONTAP System ManagerでSAMLを設定するために必要です。
  • Okta URLに トークングループの未修飾名を含めることはできません

正しいURL --  https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
間違ったURL --  https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata

  • pingフェデレーションURLは次のようになります。

https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.