ONTAP System ManagerでSAML認証を有効にするための前提条件を教えてください。

最後の更新
PDFとして保存

Views:: 99

Visibility:: Public

Votes:: 0

Category:: ontap-system-manager

Specialty:: om

Last Updated:

環境

ONTAP System Manager 9.3 以降
Security Assertion Markup Language （ SAML ）

回答

サポートされているIdPサーバ

Microsoft Active Directoryフェデレーションサービス（ADFS）
オープンソース のShibboleth
ONTAP 9.12.1以降を搭載したCisco Duo

クレームルール	Value
Sam - アカウント名	名前 ID
Sam - アカウント名	urn ： OID ： 0.9.2342.19200300.100.1.1
名前の形式	urn：oasis：names：tc：saml：2.0：attrname -format：uri
トークングループ–修飾されていない名前	urn ： OID ： 1.3.6.1.4.1.5923.1.5.1.1

注：前述の請求ルールは、IdPサーバで設定/設定する必要があります。

IdPサーバのセットアップはIdP管理者が行いますが、ネットアップサポートはこのプロセスには関与しません。

ポート、ローカルユーザのセットアップ、およびその他の設定

ONTAP クラスタとIdPサーバの間でポート443または80が開いている必要があります
ONTAP クラスタのRemote LAN Module（RLM）コンソールまたはサービスプロセッサ（SP）コンソールへのアクセス
- IdPの設定が正しくないと、管理ユーザはSystem Managerにログインできません
- クラスタ管理LIFからSAMLを無効にすることはできません。SAMLはRLMコンソールまたはSPコンソールから無効にする必要があります。
クラスタに設定されているActive Directoryドメイングループは、現在SAMLでは機能しません
ONTAP CLIを使用してONTAP クラスタにSAMLドメインユーザを追加する

注：

ONTAP で は大文字と小文字が区別されます
sAMAccountName （Domain\Username）を使用する必要はありません。 ユーザ名を使用するだけです
user@domain IdPに起因するため、ユーザ名のパターンを使用して機能させる必要がある場合もあります

例1：

Active Directoryドメインユーザ名が john で大文字 がJの場合は、ONTAP クラスタに同じ名前のSAMLユーザを追加します。

cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin

例2：

Active Directoryドメインユーザ名が John で大文字がHの場合。

cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name JoHn -application ontapi -authentication-method saml -role admin

DNS

クラスタからIdPサーバの完全修飾ドメイン名にpingを送信できる必要があります

::> dns hosts show

::> ping <IDP_server_name>

IdPサーバからクラスタ管理LIFまたはクラスタの完全修飾ドメイン名にpingを送信できる必要があります

IdP server CLI --> ping <cluster_FQDN>

クラスタ証明書の有効期限が切れていないことを確認してください

::> security certificate show -vserver <cluster_name> -common-name <clustername>

IdP（アイデンティティプロバイダ）URL

ADFSまたはShibbolethサーバからIdP URLを取得します
- OktaとPingフェデレーションは正常に設定されていますが、ネットアップではテストされていません。
- このURLは、ONTAP System ManagerでSAMLを設定するために必要です。
Okta URLに トークングループの未修飾名を含めることはできません

正しいURL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
間違ったURL -- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata

pingフェデレーションURLは次のようになります。

https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn