1. はじめに
皆様こんにちは!ストレージ担当の島田です。
サーバーやクラウドの管理認証では、SSO や MFA を導入するのが当たり前になりつつあります。
では、ストレージ管理はどうでしょうか。ストレージは重要データを支える基盤であるにもかかわらず、管理アカウントの運用だけは従来のまま、という環境もまだ珍しくありません。
しかし実際には、ストレージ管理者が持つ権限は非常に大きく、もし管理認証が破られれば、設定変更やデータ保護機能の操作まで含めて大きな影響が及びます。
そう考えると、ストレージ管理も他のインフラと同様に、認証基盤の統合や MFA による保護を進めるべき対象だと言えます。
そこで今回は、PowerStore と Microsoft Entra ID を連携し、ストレージ管理の認証を SSO と MFA で強化できるかを実際に検証しました。
今回の目的は、単に「連携できるか」を確認することではなく、どのタイミングでどのような通信が発生し、Entra ID がどこまでを担い、PowerStore がどこで権限を判断するのかを整理することです。
また本記事は前編・中編・後編の3回に分けてお届けします。
2. アジェンダ
前編では、PowerStore と Microsoft Entra ID を連携したときに、何ができるのか、どのような役割分担になるのかを中心に整理します。
- 1. はじめに
- 2. アジェンダ
- 3. Microsoft Entra ID とは
- 4. PowerStore とは
- 5. 今回の検証で確認したかったこと
- 6. 検証環境
- 7. まず結論
- 8. 連携の全体像
- 9. まとめ
設定の細かな手順に入る前に、まずは全体像と考え方を押さえていきます。
3. Microsoft Entra ID とは
Microsoft Entra ID は、Microsoft が提供するクラウド型の ID 管理基盤です。ユーザーやグループ、アプリケーションを一元的に管理でき、サインイン時の認証や多要素認証(MFA)を担う基盤として利用できます。
また、SSO や条件付きアクセス、外部アプリケーションとの認証連携にも対応しており、組織内のさまざまなシステムで共通の認証基盤として活用できます。今回のテーマでも、PowerStore の管理認証を既存の認証基盤へ統合するうえで、Microsoft Entra ID が認証の起点になります。
4. PowerStore とは
PowerStore は、Dell Technologies が提供するエンタープライズ向けストレージ製品です。高性能なストレージ基盤として利用できるだけでなく、運用管理やデータ保護の機能も備えています。
PowerStoreOS 4.2 以降では、外部の ID 基盤と連携した管理認証の強化が可能になり、Microsoft Entra ID のような認証基盤と組み合わせて、ストレージ管理のログインを既存の認証基盤へ統合できるようになりました。
5. 今回の検証で確認したかったこと
今回の検証で確認したかったことは、大きく三つあります。
- PowerStore と Microsoft Entra ID を連携し、SSO で管理画面へログインできるか
- Entra 側で認証したユーザー情報をもとに、PowerStore 上で適切に権限付与できるか
- 今回は、
upnをUser_Nameにマッピングし、Administrator ロールを付与できるかを確認 - MFA をどのように適用するべきか
- 最短構成として Security Defaults を試しつつ、PowerStore 管理の認証強化を考えるうえで、Entra 側でどのような設計が必要になるかも確認対象としました。
以上の観点から、今回は PowerStore と Entra ID の連携を、SSO、権限付与、MFA の3点に分けて確認しました。
6. 検証環境
今回の検証では、以下の環境を使用しました。
- Microsoft Entra ID を利用できる Azure 環境
- PowerStore 本体
- 管理用 PC / ブラウザ
- Microsoft Authenticator をインストールしたスマートフォン
また、Microsoft Entra ID 側で検証用ユーザーを用意し、PowerStore 側ではそのユーザーを Administrator ロールにマッピングする前提で確認を進めました。
■前提条件
なお、本検証を進めるにあたっては、以下を前提としています。
- PowerStore Manager に管理者権限でアクセス可能であること
- Microsoft Entra ID テナントの管理権限を保持していること
- PowerStore から Entra の OIDC エンドポイントへ通信できること
7. まず結論
今回の検証で、まず以下を確認できました。
- PowerStore と Microsoft Entra ID の SSO 連携は成立する
- Entra 側の
upnを PowerStore 側のUser_Nameに対応付けられる - Role Mapping により、PowerStore 上で Administrator 権限を付与できる
一方で、MFA の適用は SSO 連携とは別に考える必要があり、Entra 側でどのようにポリシーを設計するかが重要であることも分かりました。
8. 連携の全体像
PowerStore と Microsoft Entra ID の連携は、役割を分けて考えると分かりやすいです。
役割分担
- Microsoft Entra ID
- ユーザー本人の認証を行う
- 必要に応じて MFA を要求する
- ID トークンを発行する
- PowerStore
- Entra ID が返した ID トークンを検証する
- トークン内の claim を読み取る
- Role Mapping をもとに権限を決定する
ログインの流れ
- 管理者がブラウザで PowerStore Manager にアクセスする
- ブラウザで「SSO でログイン」を選択する
- PowerStore が Entra ID へのリダイレクト情報をブラウザへ返す
- ブラウザが Entra ID に OIDC 認証リクエストを送信する
- 管理者が Entra ID のサインイン画面でupn とパスワードを入力する
- 必要に応じて Authenticator へ MFA 通知が送られる
- ユーザーが通知を承認する
- Entra ID が ID トークン(upn を含む)をブラウザへ返す
- ブラウザがそのトークンを持って PowerStore に戻る
- PowerStore がトークン署名を確認し、upn を取得して User_Name に対応付ける
- PowerStore が Role Mapping を参照し、ユーザーの権限を決定する
- Administrator として PowerStore Manager へログインが完了する
要点
- 認証するのは Entra ID
- 権限を決めるのは PowerStore
この二つを分けて考えると、連携の仕組みが理解しやすくなります。
9. まとめ
今回はここまで!
前編では、PowerStore と Microsoft Entra ID を連携することで、ストレージ管理の認証をどのように強化できるのか、その全体像を整理しました。
ポイントは、認証そのものは Entra ID が担い、PowerStore 側では受け取ったユーザー情報をもとに権限を判断する、という役割分担です。この構成により、ストレージ管理の認証を既存の認証基盤へ統合できることが分かります。
次回の中編では、実際の検証内容を詳しく紹介していきます。
まずMicrosoft Entra ID 側で実際に必要となる準備として、検証用テナントやユーザー、アプリ登録、クライアントシークレット、MFA の設定、そしてPowerStoreの一部設定までを順に確認していきます。
最後まで、読んでいただきありがとうございました!
Networld Techのブログ一覧はこちら!
https://www.networld.co.jp/product/dell_technologies/tech-blog
