2.4　ユーザ認証 : Hitachi Command Suite Configuration Manager REST API リファレンスガイド

REST APIでは、セッションベースのユーザ認証を行います。 REST APIクライアントがREST APIサーバにアクセスして操作を開始する際には、必ず最初にセッションを生成します。セッション生成のリクエストでは、ストレージシステムにアクセスするためのユーザIDとパスワードによる認証を行いますが、セッション生成後は、セッションの情報をAuthorizationヘッダに指定し、セッションの情報に基づいて認証を行います。

メモ

REST APIのユーザ認証には、ストレージシステムに登録されたユーザまたはストレージシステムに接続された外部認証サーバと外部認可サーバで管理されているユーザを使用してください。

Hitachi Command Suite製品など、ほかの製品のユーザや、ほかの製品に接続された外部認証サーバと外部認可サーバで管理されているユーザは、REST APIのユーザ認証には使用できません。
ストレージシステムとHitachi Command Suite製品など、ほかの製品が同じ外部認証サーバと外部認可サーバに接続している場合、REST APIのユーザ認証には、ほかの製品で利用するユーザとは別のユーザを新規に作成してください。その場合、次の条件を満たすユーザとしてください。
- 外部認証ユーザを作成する場合は、このユーザをHitachi Command Suite製品に登録しないでください。
- 外部認可ユーザを作成する場合は、この外部認可グループをHitachi Command Suite製品に登録しないでください。

ユーザ認証の使い分けについて

REST APIを使用するときは、下記のとおり認証方法を使い分けてください。

ストレージシステムの登録：ユーザIDとパスワードによる認証
セッションの生成：ユーザIDとパスワードによる認証
上記以外の操作：セッションによる認証

REST APIの運用に合わせた認証の流れを次に示します。

[図データ]

ユーザIDとパスワードによる認証

Authorizationヘッダに、次の形式で認証情報を指定します。

Authorization: Basic ＜認証情報＞

認証情報: ユーザIDとパスワードをコロン（:）でつないだ文字列をBase64でエンコードした文字列を指定します。ストレージシステムのリソースを操作できるユーザアカウントのユーザIDとパスワードを使用してください。

REST APIでは、ユーザIDとパスワードに次の文字を使用できます。

項目	文字数	使用できる文字
ユーザID	1～63文字	次の文字が使用できます。^※ 半角英数字次の半角記号 `!` `#` `$` `%` `&` `'` `*` `+` `-` `.` `/` `=` `?` `@` `^` `_` ` `{` `\|` `}` `~`
パスワード	6 ～63文字	次の文字が使用できます。^※ 半角英数字スペースを除くキー入力可能なASCII記号 `!` `"` `#` `$` `%` `&` `'` `(` `)` `*` `+` `,` `-` `.` `/` `:` `;` `<` `=` `>` `?` `@` `[` `\` `]` `^` `_` ` `{` `\|` `}` `~`

項目

文字数

使用できる文字

ユーザID

1～63文字

次の文字が使用できます。^※

半角英数字
次の半角記号
! # $ % & ' * + - . / = ? @ ^ _ ` { | } ~

パスワード

6 ～63文字

次の文字が使用できます。^※

半角英数字
スペースを除くキー入力可能なASCII記号
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

注※　対象のストレージシステムのマイクロコードが、Configuration Manager 8.6.2に対応しているマイクロコードのバージョンよりも古く、かつ、次の条件が該当する場合は、使用できる文字が異なります。

ストレージシステムがVSP G1000、VSP G1500またはVSP F1500で、REST APIサーバとの通信にSSL通信を利用している場合
ストレージシステムがVSP G150、G350、G370、G700、G900、VSP F350、F370、F700、F900の場合

この場合に、ユーザIDとして次の文字が使用できます。

半角英数字
次の半角記号
- . / @ _

この場合に、パスワードとして次の文字が使用できます。

半角英数字
次の半角記号
, - . / @ _ \

ユーザIDがsample-user、パスワードがsample-passwordの場合のAuthorizationヘッダの例を次に示します。

Authorization: Basic c2FtcGxlLXVzZXI6c2FtcGxlLXBhc3N3b3Jk

セッションによる認証

Authorizationヘッダに、次の形式でセッションのトークンを指定します。

Authorization: Session ＜トークン＞

トークン: トークンは、セッションを生成すると返却される認証情報です。この情報を基に、リクエストが認証済みユーザから発行されたかどうかを判定します。

Authorizationヘッダの指定例：

Authorization : Session 550e8400-e29b-41d4-a716-446655440000

メモ

次のストレージシステムの場合、ストレージシステムにアカウントが登録されていないユーザで、外部認証サーバと外部認可サーバで管理されているユーザアカウントでは、REST APIで以下の操作を実行できません。これらの操作を実行するには、ストレージシステムに登録されているユーザアカウントを使用してください。

対象のストレージシステム

マイクロコードのバージョンが80-06-77-XX/XXより前のVSP G1000、VSP G1500、VSP F1500
Virtual Storage Platform
HUS VM

実行できない操作

ストレージシステムの登録・削除
ストレージシステムの情報の変更
ジョブの情報の取得
ユーザに対するすべての操作
ユーザグループの情報の取得
リソースグループに対するすべての操作
リモートストレージシステムの登録・削除
セッションの一覧の取得
セッションの破棄
CLPRの作成・削除・変更
ストレージシステムの構成変更の通知先の登録・削除
ストレージシステムの情報検索の機能を使用した情報の取得
ストレージシステムの構成情報の更新
REST APIサーバの通信モードの変更

2.4 ユーザ認証

2.4　ユーザ認証