はじめに

みなさん、こんにちは。SBC&Sで技術支援を担当している中里です。
今回は、CohesityへのSSO(Single Sign ON)連携、特にAzure ADのユーザー情報と連携したアクセス制御についてご紹介したいと思います。

Cohesityに設定可能なSSOプロパイダ

Cohesityに設定可能なSSOプロパイダは、現在以下の５つがあります。
・Active Directory Federation Services (ADFS)
・Azure Active Directory(Azure AD)
・Duo Single Sign-on
・Ping Identity
・Okta Single Sign-on

これら５つのSSOプロパイダとCohesityを連携させることで、上記プロパイダに存在するユーザーでCohesityへログインすることができます。したがって、Cohesityでユーザーを管理する必要がなく、ユーザー情報を一元的に管理することが可能となります。

Azure ADへのアプリケーション登録

CohesityへAzure ADユーザーでログインできるようにするためには、まずAzure AD側でSSOアプリケーションを作成する必要があります。
Azure PortalからActive Directoryの管理画面にアクセスし、"エンタープライズアプリケーション"をクリックします。

Cohesity用にSSOアプリケーションを作成するため、"新しいアプリケーション"をクリックします。

続けて、"独自のアプリケーションの作成"をクリックし、任意のアプリの名称を入力し"作成"を押下します。

Cohesity用のSSOアプリケーションの作成が完了したので、SSOに関する詳細情報を設定していきます。
作成したアプリケーションの左メニュー上にある"シングルサインオン"を開き、"SAML"をクリックします。

ここからSAMLに関する設定を行っていきます。
【基本的なSAML構成】の"編集"ボタンを押下し、
識別子と返答URLに以下の内容を設定します。
https://cluster_fqdn/idps/authenticate

【属性とクレーム】にて以下内容にて新規クレームを作成します。
クレーム名：email
値：user.userprincipalname

その後、SSOさせるユーザーもしくはグループを登録します。今回はユーザーのみ追加します。

最後にCohesityにSSOプロパイダとして登録するときに必要なPEM証明書を【SAML署名証明書】からダウンロードし、【CohesitySSOのセットアップ】からログインURLをAzure AD識別子を控えておきます。

以上で、Azure AD側の準備は完了です。

CohesityへSSOプロパイダとしてAzure ADの登録

Cohesityのログイン時にAzure ADのSSOが利用できるよう、CohesityにSSOプロパイダの登録を行います。
CohesityのGUIにログインし、【Access Management】⇨【SSO】を選択し、"Configure SSO"をクリックします。

前章で作成したアプリケーションの情報、控えたURL等の情報を入力していきます。

"Add"を押下し、無事に下図のように登録ができれば、CohesityへのSSOプロパイダの登録は完了です。

CohesityへAzure ADユーザーでログインする

登録が無事に完了したので、Cohesity GUIにAzure ADユーザーでログインしてみます。
Cohesity GUIのログイン画面で"Sign in with SSO"をクリックすると、Microsoftのログイン画面に遷移します。先ほど、登録したAzure ADユーザー名とそのユーザーのパスワードを入力してサインインします。

無事、Cohesity GUIにログインすることができました。

まとめ

今回はCohesityへAzure ADユーザーでログインするSSOの設定方法について紹介しました。
情報漏洩のリスクやユーザー情報の一元管理のメリットなどを鑑みると、SSOを利用したいお客様が多数いらっしゃるのではないでしょうか。本記事がCohesityの運用設計において、有益な情報になれば幸いです。

※今回検証に使用したSoftwareバージョンは6.6.0d_u1です。バージョンにより機能の仕様や動作が異なる場合があります。
最新のCohesityバージョン、Azure AD環境における設定方法に関してはメーカーの公式ドキュメントをご参照ください。