ONTAP System ManagerでSAML認証を有効にするための前提条件を教えてください。
環境
- ONTAP System Manager 9.3 以降
- Security Assertion Markup Language ( SAML )
回答
サポートされているIdPサーバ
- Microsoft Active Directoryフェデレーションサービス(ADFS)
- オープンソース のShibboleth
- ONTAP 9.12.1以降を搭載したCisco Duo
クレームルール | Value |
---|---|
Sam - アカウント名 | 名前 ID |
Sam - アカウント名 | urn : OID : 0.9.2342.19200300.100.1.1 |
名前の形式 | urn:oasis:names:tc:saml:2.0:attrname -format:uri |
トークングループ–修飾されていない名前 | urn : OID : 1.3.6.1.4.1.5923.1.5.1.1 |
注: 前述の請求ルールは、IdPサーバで設定/設定する必要があります。
- IdPサーバのセットアップはIdP管理者が行いますが、ネットアップサポートはこのプロセスには関与しません。
ポート、ローカルユーザのセットアップ、およびその他の設定
- ONTAP クラスタとIdPサーバの間でポート443または80が開いている必要があります
- ONTAP クラスタのRemote LAN Module(RLM)コンソールまたはサービスプロセッサ(SP)コンソールへのアクセス
- IdPの設定が正しくないと、管理ユーザはSystem Managerにログインできません
- クラスタ管理LIFからSAMLを無効にすることはできません。SAMLはRLMコンソールまたはSPコンソールから無効にする必要があります。
- クラスタに設定されているActive Directoryドメイングループは、現在SAMLでは機能しません
- ONTAP CLIを使用してONTAP クラスタにSAMLドメインユーザを追加する
注:
- ONTAP で は大文字と小文字が区別されます
- sAMAccountName (Domain\Username)を使用する必要はありません。 ユーザ名を使用するだけです
user@domain
IdPに起因するため、ユーザ名のパターンを使用して機能させる必要がある場合もあります
- 例1:
Active Directoryドメインユーザ名が john で大文字 がJの場合は、ONTAP クラスタに同じ名前のSAMLユーザを追加します。
cluster::> security login create -user-or-group-name John -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name John -application ontapi -authentication-method saml -role admin
- 例2:
Active Directoryドメインユーザ名が John で大文字 がHの場合。
cluster::> security login create -user-or-group-name joHn -application http -authentication-method saml -role admin
cluster::> security login create -user-or-group-name JoHn -application ontapi -authentication-method saml -role admin
DNS
- クラスタからIdPサーバの完全修飾ドメイン名にpingを送信できる必要があります
::> dns hosts show
::> ping <IDP_server_name>
- IdPサーバからクラスタ管理LIFまたはクラスタの完全修飾ドメイン名にpingを送信できる必要があります
IdP server CLI --> ping <cluster_FQDN>
- クラスタ証明書の有効期限が切れていないことを確認してください
::> security certificate show -vserver <cluster_name> -common-name <clustername>
IdP(アイデンティティプロバイダ)URL
- ADFSまたはShibbolethサーバからIdP URLを取得します
- OktaとPingフェデレーションは正常に設定されていますが、ネットアップではテストされていません。
- このURLは、ONTAP System ManagerでSAMLを設定するために必要です。
- Okta URLに トークングループの未修飾名を含めることはできません
正しいURL -- https://netapp.okta.com/app/abc1a23a1234567abcd/sso/saml/metadata
間違ったURL -- https://netapp.okta.com/app/netapp_app_1/abc1a23a1234567abcd/sso/saml/metadata
- pingフェデレーションURLは次のようになります。
https://companysaml.domain.com/pf/federation_metadata.ping?PartnerSpId=https://cluster_fqdn