AIQUM で SAML 認証を有効にするための前提条件
環境
- Active IQ Unified Manager ( AIQUM )
- Security Assertion Markup Language ( SAML )
説明
用語
- Active IQ Unified Manager サーバは、次の IDP サーバに対してのみテストされています。
- Microsoft Active Directory フェデレーションサービス( ADFS)
- Microsoft が開発したアイデンティティプロバイダ。Windows Server オペレーティングシステム上で実行することで、組織の境界を越えて配置されたシステムやアプリケーションにシングルサインオンでアクセスできるようになります
- オープンソースの Shibboleth
- Shibboleth は、シングルサインオン機能を提供するオープンソースプロジェクトです。これにより、サイトは、プライバシー保護されたオンラインリソースへの個人アクセスについて、十分な情報に基づいた認証の決定をプライバシー保護の方法で行うことができます
- Microsoft Active Directory フェデレーションサービス( ADFS)
- Security Assertion Markup Language ( SAML )
- 特にアイデンティティプロバイダとサービスプロバイダの間で、パーティ間で認証および許可データを交換するためのオープンスタンダード。名前が示すように、 SAML は XML ベースのマークアップ言語です
- シングルサインオン( SSO ):
- SAML IdP 認証が完了すると、 IdP は SAML アサーションを発行し、管理者の Web ブラウザを UM にリダイレクトします。UM は SAML アサーションを処理し、内部データベースから許可ロールを検索します。セッションが確立され、 SAML セッショントークンが管理者の Web ブラウザに返されます。IdP のデフォルトの有効期間は、セキュア SAML トークンの 2~8 時間です。これらは、証明書利用者固有の設定によって上書きされます。管理者は、トークンの有効期間中 UM へのアクセスを許可されます
- 請求規則。
- 要求規則は、 IdP で定義された属性を証明書利用者にマッピングするためのメカニズムを提供します。ユーザ ID や共通名などのこれらの属性は、証明書利用者が IdP 認証後の承認のマッピングに使用します。
- IdP (アイデンティティプロバイダ)の要件
請求規則 | Value |
Sam - アカウント名 | 名前 ID |
Sam - アカウント名 | urn : OID : 0.9.2342.19200300.100.1.1 |
トークングループ–修飾されていない名前 | urn : OID : 1.3.6.1.4.1.5923.1.5.1.1 |
注:上記の請求規則は、 IDP サーバーで設定 / セットアップする必要があります。IDP サーバーのセットアップは、 IDP 管理者のみが行います。ネットアップサポートは、 IdP サーバのセットアップには関与しません。
ポート、ローカルユーザの設定とその他の設定:
- Active IQ Unified Manager と IDP サーバの間でポート( 443 または 80 )が開いている必要があります
- SAML 認証を設定する前に、まず Active IQ Unified Manager の「リモート認証」を設定する必要があります
- Active IQ Unified ManagerAIQ Unified Manager Active Directoryリモート認証解決ガイドで「リモート認証」を設定するには、こちらの技術情報に従ってください。
- UM CLI を使用してリモート認証が有効になっていることを確認
um cli login -u <maintenance_user>
um option list | grep -i "auth.ldap.enabled"
- 注:「 true 」の出力は LDAP が有効です
- UM Web UI を使用しても同じことを確認できます
- Unified Manager サーバに Active Directory ドメインユーザとしてログオンできるかどうかを確認します
- 注:リモート認証が有効になっていても、「リモートユーザ」または「リモートグループ」を追加できない場合は、「 SAML 認証」を有効にすることはできません。そのため、「リモート認証」を有効にしてから、 Unified Manager にドメインユーザとしてログオンすることが重要です。
- DNS
- Active IQ Unified Manager は、 IdP サーバの完全修飾ドメイン名に ping を実行できる必要があります
- IdP サーバから Unified Manager の完全修飾ドメイン名に ping を実行できる必要があります
IDP CLI --> ping <Active_IQ_Unified_Manager_FQDN>
- Unified Manager 証明書の有効期限が切れていないことを確認してください
- UM WebUI と UM CLI の 2 つの確認方法があります
- UM CLI :
dfm cli login -u <maintenance_user>
dfm ssl server detail
- UM Web UI :
- UM CLI :
- UM WebUI と UM CLI の 2 つの確認方法があります
- IdP (アイデンティティプロバイダ)の URL
- ADFS サーバまたは Shibboleth サーバから IDP URL を取得してください。 Active IQ Unified Manager で SAML を設定するには、この URL が必要です。