ONTAP System ManagerでSAML認証を有効にするための前提条件を教えてください。
環境
- ONTAP System Manager 9.3以降
- Security Assertion Markup Language(SAML)
回答
サポートされるIdPサーバ
- Microsoft Active Directoryフェデレーションサービス(ADFS)
- オープンソースのシボレス
- ONTAP 9 12.1以降を搭載したCisco Duo
請求ルール | Value |
---|---|
sam-account-name | 名前ID |
sam-account-name | URN:OID:0.9.2342.19200300.100.1.1 |
名前の形式 | urn:oasis:names:tc:saml:2.0:attrname-format:uri |
Token groups – Unqualified Name | URN:OID:1.3.6.1.4.1.5923.1.5.1.1 |
注: 前述の請求ルールは、IdPサーバで設定/設定する必要があります。
- IdPサーバのセットアップはIdP管理者が行いますが、NetAppサポートはこのプロセスには関与しません。
ポート、ローカルユーザのセットアップおよびその他の設定
- ONTAPクラスタとIdPサーバの間でポート443または80が開いている必要があります。
- へのアクセス ONTAPクラスタのRemote LAN Module(RLM)コンソールまたはサービスプロセッサ(SP)コンソール
- IdPの設定が正しくないと管理ユーザはSystem Managerにログインできなくなります
- クラスタ管理LIFからSAMLを無効にすることはできません。RLM コンソールまたはSPコンソールからSAMLを無効にする必要があります。
- クラスタに設定されているActive Directoryドメイングループは、ONTAPのSAMLと連携しません。
- ONTAP CLIを使用したONTAPクラスタへのSAMLドメインユーザの追加
注:
- ONTAPでは大文字と小文字が区別される
- sAMAccountName(Domain\Username)を使用する必要はなく、ユーザ名を使用するだけです。
- 場合によっては
user@domain
ようなユーザ名のパターンを使用しないと動作しないことがあります。これはIdPから取得されるためです。
- 例1:
Active Directoryドメインユーザ名がjohnで大文字がJの場合は、ONTAPクラスタに同じ名前のSAMLユーザを追加します。
cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin
- 例2:
Active Directoryドメインユーザ名がJohnで大文字がHの場合。
cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin
DNS
- クラスタからIdPサーバの完全修飾ドメイン名にpingを送信できる必要があります。
::> dns hosts show
::> ping <IDP_server_name>
- IdPサーバからクラスタ管理LIFまたはクラスタ完全修飾ドメイン名にpingを送信できる必要があります。
IdP server CLI --> ping <cluster_FQDN>
- クラスタ証明書の有効期限が切れていないことを確認してください
::> security certificate show -vserver <cluster_name> -common-name <clustername>
IdP (アイデンティティプロバイダ)URL
- ADFSまたはShibbolethサーバからIdP URLを取得する
- OktaとPingフェデレーションは正常に設定されていますが、NetApp内ではテストされていません。
- このURLは、ONTAP System ManagerでSAMLを設定するために必要です。
- Okta URLにトークングループの未修飾名を含めることはできません
正しいURL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
incorrect URL-- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata
- pingフェデレーションURLは次のようになります。
https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn