株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > 【MFA検証】ONTAP 9.16のSystem ManagerにおけるWebAuthn対応MFAを試す
最終更新日

【MFA検証】ONTAP 9.16のSystem ManagerにおけるWebAuthn対応MFAを試す

~FIDO2準拠の次世代認証技術で管理アクセスをより堅牢に~

皆様こんにちは、ネットワールドSEの永井と申します。

今回のNetApp ONTAP 9.16では、System Managerにおける二要素認証(MFA)の2段階目としてWebAuthnが正式サポートされました。これにより、従来のユーザー名+パスワードに加え、スマートフォンの生体認証やYubiKeyなどの物理セキュリティキーを活用した、より強固な認証が可能になりました。

本記事では、FAS2750(ONTAP 9.16.1P1)+Firefox 137.0の環境にて、System Manager上でのWebAuthnを用いたMFAの設定および挙動を実際に検証した結果をご紹介いたします。情報セキュリティ強化が叫ばれる昨今、管理インターフェースへのアクセス制御を再考する一助となれば幸いです。

1. WebAuthnとは?

WebAuthn(Web Authentication)は、FIDO2に準拠した、次世代のブラウザ標準認証フレームワークです。
ユーザーはパスワードの代わりに、生体認証やセキュリティキーを使ってログインすることが可能となり、パスワードレス二要素認証での安全かつスムーズな認証体験が実現します。

ONTAP 9.16では、System Managerログイン時の二要素認証(MFA)の2段階目にWebAuthnを設定可能となっており、従来のパスワードによる認証に加え、物理的なデバイスを用いた認証を加えることで、管理者アカウントのセキュリティレベルを飛躍的に向上させることができます。

2. 今回の検証環境

項目 内容
ストレージ FAS2750
ONTAPバージョン 9.16.1P1
ブラウザ Firefox 137.0
認証方式(1段階目) Password
認証方式(2段階目) WebAuthn(publickey)


3. 設定事項

3-1. WebAuthn対応ユーザの作成

ONTAP上で、新規ユーザを作成し、以下のように認証方式を設定します

  • 1つ目の要素:password
  • 2つ目の要素:publickey(= WebAuthn)

※詳しくはNetApp社のドキュメントをご覧ください。

WebAuthn多要素認証の概要

3-2. FQDNでのアクセス

WebAuthnではIPアドレスによるアクセスはサポートされません
必ずFQDN(例:https://netapp-fas2750)形式でSystem Managerにアクセスしてください。

4. 登録フロー

WebAuthn_登録フロー


ユーザがSystem Managerにログインする際、初回アクセス時にWebAuthnデバイスの登録が求められます。
登録後、秘密鍵はオーセンティケータに格納され、公開鍵はONTAPに格納されます。

5. 認証フロー

WebAuthn_認証フロー

ログイン操作の流れ:

  1. FQDNでSystem Managerにアクセス

  2. ユーザ名・パスワードを入力(1段階目)

  3. WebAuthnデバイスによる認証要求(2段階目)

  4. 成功すると管理画面へ遷移

 

 

6. 実際の動作

※WebAuthn対応ユーザの作成され、System Managerのログイン時からの動作になります。

※検証の都合上、二要素認証としてパスキーを使用しています。

6-1.System Managerへログイン

System Managerへのアクセス

ユーザ名、パスワードを入力しサインインを実行。

6-2.認証デバイスの登録設定

認証登録_1

サインインを実行するとMFA設定画面が表示されます。

 

 

認証登録_2

パスキーの保存場所にiPhoneを選択。

 

認証登録_3

iPhoneのカメラで読み取り、iPhone側で認証を実行することでWebAutnの認証登録が完了します。


6-3.MFAでのログイン確認

MFAによるログイン_1

FQDNにてアクセスしたSystem Managerにユーザ名、パスワードを入力し、サインインを実行します。その際、二要素目の認証が開始するため、登録したデバイス(iPhone)で認証を行います。

MFAによるログイン_2

iPhone側で認証を実行します。

MFAによるログイン_3


認証が問題なく成功すると、System Managerへログインができました。

 

6-4.認証登録されていない端末でのログイン

MFAによる別端末からのログイン

 

認証を登録していないアカウントから認証しようとすると、エラーにより、ログインが不可となります。

7. 実運用における留意点

✅ MFAを有効にしているユーザのみ適応

MFAは、設定されたユーザに対してのみ適用されます。
二要素認証を未設定のユーザは通常どおりパスワードでログイン可能なため、アカウント周りの設計検討が必要となります。

✅ ブラウザの依存性

  • Firefox:今回の検証では追加設定不要でスムーズに利用可能でした。

  • Chrome / Edge:仮想セキュリティキーの作成など、初期設定が必要な場合があり、未検証となります。

まとめ

ONTAP 9.16から搭載されたWebAuthnによるMFA機能は、管理者認証のセキュリティ強化に非常に有効な手段となります。
本機能を活用することで、パスワードだけに依存しない、より堅牢なアクセス制御体制を構築可能です。

nagai-shuji-nw

お問い合わせはこちら

紹介した製品・サービスについて、ご検討の方はまずはお気軽にご相談ください。

お問い合わせ
  • はてなブックマーク
  • LINE
  • Pinterest