メインコンテンツまでスキップ

ONTAP System ManagerでSAML認証を有効にするための前提条件を教えてください。

Views:
215
Visibility:
Public
Votes:
0
Category:
ontap-system-manager
Specialty:
OM
Last Updated:

環境

  • ONTAP System Manager 9.3以降
  • Security Assertion Markup Language(SAML)

回答

サポートされるIdPサーバ
  • Microsoft Active Directoryフェデレーションサービス(ADFS
  • オープンソースのシボレス
  • ONTAP 9 12.1以降を搭載したCisco Duo
請求ルール Value
sam-account-name 名前ID
sam-account-name URN:OID:0.9.2342.19200300.100.1.1
名前の形式 urn:oasis:names:tc:saml:2.0:attrname-format:uri
Token groups – Unqualified Name URN:OID:1.3.6.1.4.1.5923.1.5.1.1

注: 前述の請求ルールは、IdPサーバで設定/設定する必要があります。

  • IdPサーバのセットアップはIdP管理者が行いますが、NetAppサポートはこのプロセスには関与しません。
ポート、ローカルユーザのセットアップおよびその他の設定
  • ONTAPクラスタとIdPサーバの間でポート443または80が開いている必要があります。
  • へのアクセス ONTAPクラスタのRemote LAN Module(RLM)コンソールまたはサービスプロセッサ(SP)コンソール 
    • IdPの設定が正しくないと管理ユーザはSystem Managerにログインできなくなります
    • クラスタ管理LIFからSAMLを無効にすることはできません。RLM コンソールまたはSPコンソールからSAMLを無効にする必要があります。 
  • クラスタに設定されているActive Directoryドメイングループは、ONTAPのSAMLと連携しません。
  • ONTAP CLIを使用したONTAPクラスタへのSAMLドメインユーザの追加

  • ONTAPでは大文字と小文字が区別される
  • sAMAccountName(Domain\Username)を使用する必要はなく、ユーザ名を使用するだけです。
  • 場合によってはuser@domainようなユーザ名のパターンを使用しないと動作しないことがあります。これはIdPから取得されるためです。

 

  • 例1

Active Directoryドメインユーザ名がjohnで大文字がJの場合は、ONTAPクラスタに同じ名前のSAMLユーザを追加します。

cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin

  • 例2

Active Directoryドメインユーザ名がJohnで大文字がHの場合。

cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name joHn -application ontapi -authentication-method saml -role admin

DNS
  • クラスタからIdPサーバの完全修飾ドメイン名にpingを送信できる必要があります。

::> dns hosts show

::> ping <IDP_server_name>

  • IdPサーバからクラスタ管理LIFまたはクラスタ完全修飾ドメイン名にpingを送信できる必要があります。

IdP server CLI --> ping <cluster_FQDN>

  • クラスタ証明書の有効期限が切れていないことを確認してください

::> security certificate show -vserver <cluster_name> -common-name <clustername>

IdP (アイデンティティプロバイダ)URL
  • ADFSまたはShibbolethサーバからIdP URLを取得する
    • OktaとPingフェデレーションは正常に設定されていますが、NetApp内ではテストされていません。
    • このURLは、ONTAP System ManagerでSAMLを設定するために必要です。
  • Okta URLにトークングループの未修飾名を含めることはできません

正しいURL  --  https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
incorrect URL--  https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata

  • pingフェデレーションURLは次のようになります。

https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.