メインコンテンツまでスキップ

SAMLを使用したアクセス管理

管理者は、アレイに組み込みのSecurity Assertion Markup Language(SAML)2.0の機能をアクセス管理に使用できます。

設定ワークフロー

SAML設定は次のように行います。

  1. 管理者は、

    システム管理者権限を含むユーザー・プロファイルを持つ System Manager
    ユーザー admin に、System Manager のすべての機能に対するフルアクセスがあります。

  2. 管理者が「アクセス管理」の下にある「

    SAML」タブに移動します。

  3. アイデンティティ プロバイダ(IdP)との通信を設定します。IdPは、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するための外部システムです。ストレージ・アレイとの通信を構成するには、管理者が IdP システムから IdP メタデータ・ファイルをダウンロードし、

    System Manager を使用して、ストレージ・アレイにファイルをアップロードします。

  4. サービス プロバイダとIdP間の信頼関係を確立します。サービス プロバイダはユーザ権限を制御します。このケースでは、ストレージ アレイ内のコントローラがサービス プロバイダの役割を果たします。通信を構成するには、管理者が

    System Manager を使用して、各コントローラーのサービス・プロバイダー・メタデータ・ファイルをエクスポートします。その後、IdPシステムからそれらのメタデータ ファイルをIdPにインポートします。
    管理者は、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要もあります。

  5. ストレージ アレイのロールをIdPで定義されているユーザ属性にマッピングします。これを行うには、管理者が

    System Manager を使用してマッピングを作成します。

  6. IdP URLへのSSOログインをテストします。このテストで、ストレージ アレイとIdPが通信できることを確認します。

    注意
    SAML が有効になると、ユーザー・インターフェースを通じて無効にすることも、IdP 設定を編集することもできません。SAML 構成を無効にするか編集する必要がある場合、テクニカル・サポートにお問い合わせください。

  7. 続いて

    System Manager から、管理者がストレージ・アレイの SAML を有効にします。

  8. ユーザが自身のSSOクレデンシャルを使用してシステムにログインします。

管理

認証にSAMLを使用している場合、管理者は次の管理タスクを実行できます。

  • 新しいロール マッピングの変更または作成

  • サービス プロバイダ ファイルのエクスポート

アクセス制限

SAML が有効になっている場合、ユーザーは ThinkSystem SAN Manager からそのアレイのストレージを検出または管理することができません。

加えて、次のクライアントはストレージ・アレイ・サービスとリソースにアクセスできません。

  • コマンドライン インターフェイス(CLI)

  • ソフトウェア開発キット(SDK)クライアント

  • インバンド クライアント

  • HTTPベーシック認証REST APIクライアント

  • 標準のREST APIエンドポイントを使用したログイン