BlueXP でアイデンティティフェデレーションを使用してシングルサインオンを有効にする
変更を提案
PDF
アイデンティティフェデレーション_ BlueXPとのシングルサインオンを有効にして、ユーザが自社のアイデンティティのクレデンシャルを使用してログインできるようにします。まず、アイデンティティフェデレーションとBlueXPの連携について説明し、セットアッププロセスの概要を確認してください。
NSSクレデンシャルを使用したアイデンティティフェデレーション
NetApp Support Site (NSS)クレデンシャルを使用してBlueXPにログインする場合は、このページの手順に従ってアイデンティティフェデレーションを設定しないでください。代わりに、次の手順を実行してください。
-
をダウンロードして実行します "ネットアップフェデレーションリクエストフォーム"
-
フォームに指定されたメールアドレスにフォームを送信します
ネットアップのIDおよびアクセス管理チームがリクエスト内容を確認します。
アイデンティティフェデレーションの仕組み
アイデンティティフェデレーションを設定すると、BlueXPの認証サービスプロバイダ(Auth0)と独自のアイデンティティ管理プロバイダの間に信頼関係が確立されます。
次の図は、アイデンティティフェデレーションとBlueXPの連携を示しています。
-
ユーザがBlueXPのログインページでEメールアドレスを入力します。
-
BlueXPは、Eメールドメインがフェデレーテッド接続の一部であることを特定し、信頼された接続を使用して認証要求をアイデンティティプロバイダに送信します。
フェデレーテッド接続を設定すると、BlueXPでは常にそのフェデレーテッド接続が認証に使用されます。
-
ユーザは、社内ディレクトリのクレデンシャルを使用して認証されます。
-
アイデンティティプロバイダがユーザのIDを認証し、ユーザがBlueXPにログインします。
アイデンティティフェデレーションでは、Security Assertion Markup Language 2.0(SAML)やOpenID Connect(OIDC)などのオープン標準が使用されます。
サポートされているIDプロバイダ
BlueXPは次のIDプロバイダをサポートしています。
-
Security Assertion Markup Language(SAML)アイデンティティプロバイダ
-
MicrosoftエントラID
-
Active Directory フェデレーションサービス( ADFS )
-
PingFederate
BlueXPでは、サービスプロバイダ主導(SP主導)のSSOのみがサポートされます。アイデンティティプロバイダが開始する(IdPが開始する)SSOはサポートされていません。
セットアッププロセスの概要
BlueXPとアイデンティティ管理プロバイダの間の接続をセットアップする前に、必要な準備手順を理解しておく必要があります。
以下の手順は、ネットアップのクラウドログインを使用してBlueXPにログインするユーザに固有のものです。NSSクレデンシャルを使用してBlueXPにログインする場合は、 NSSクレデンシャルを使用してアイデンティティフェデレーションを設定する方法について説明します。
SAMLアイデンティティプロバイダ
概要として、BlueXPとSAMLアイデンティティプロバイダの間にフェデレーテッド接続を設定する手順は次のとおりです。
| ステップ | 完了者 | 説明 | ||
|---|---|---|---|---|
1. |
Active Directory(AD)管理者 |
SAMLアイデンティティプロバイダを設定して、BlueXPとのアイデンティティフェデレーションを有効にします。 SAML IDプロバイダの手順を表示します。 お使いのアイデンティティプロバイダが上記のリストに表示されない場合は、 "以下の一般的な手順に従ってください"
|
||
2. |
BlueXPの管理者 |
にアクセスします "[NetApp Federation Setupページ"^] BlueXPとの接続を確立します。 この手順を完了するには、アイデンティティプロバイダに関する次の情報をAD管理者から入手する必要があります。
この情報を使用して接続を作成すると、[フェデレーションセットアップ]ページに、次の手順で設定を完了するためにAD管理者に送信できるパラメータが一覧表示されます。
|
||
3. |
AD管理者 |
手順2が完了したら、[フェデレーションセットアップ]ページに表示されたパラメータを使用してアイデンティティプロバイダで設定を完了します。 |
||
4. |
BlueXPの管理者 |
から接続をテストして有効にします "[NetApp Federation Setupページ"^] |
MicrosoftエントラID
概して、BlueXPとMicrosoft Entra IDの間にフェデレーテッド接続を設定する手順は次のとおりです。
| ステップ | 完了者 | 説明 | ||
|---|---|---|---|---|
1. |
AD管理者 |
BlueXPでアイデンティティフェデレーションを有効にするには、Microsoft Entra IDを設定します。
|
||
2. |
BlueXPの管理者 |
にアクセスします "[NetApp Federation Setupページ"^] BlueXPとの接続を確立します。 この手順を完了するには、AD管理者から次の情報を入手する必要があります。
この情報を使用して接続を作成すると、[フェデレーションセットアップ]ページに、次の手順で設定を完了するためにAD管理者に送信できるパラメータが一覧表示されます。
|
||
3. |
AD管理者 |
手順2が完了したら、[フェデレーションセットアップ]ページに表示されているパラメータを使用して、Microsoft Entra IDで設定を完了します。 |
||
4. |
BlueXPの管理者 |
から接続をテストして有効にします "[NetApp Federation Setupページ"^] |
ADFS ( ADFS )
BlueXPとADFSの間にフェデレーテッド接続を設定する手順の概要は次のとおりです。
| ステップ | 完了者 | 説明 | ||
|---|---|---|---|---|
1. |
AD管理者 |
BlueXPとのアイデンティティフェデレーションを有効にするようにADFSサーバを設定します。 |
||
2. |
BlueXPの管理者 |
にアクセスします "[NetApp Federation Setupページ"^] BlueXPとの接続を確立します。 この手順を完了するには、AD管理者からADFSサーバーまたはフェデレーションメタデータファイルのURLを取得する必要があります。 この情報を使用して接続を作成すると、[フェデレーションセットアップ]ページに、次の手順で設定を完了するためにAD管理者に送信できるパラメータが一覧表示されます。
|
||
3. |
AD管理者 |
手順2が完了したら、[フェデレーションセットアップ]ページに表示されているパラメータを使用して、ADFSサーバーで設定を完了します。 |
||
4. |
BlueXPの管理者 |
から接続をテストして有効にします "[NetApp Federation Setupページ"^] |
PingFederate
BlueXPとPingFederateサーバの間にフェデレーテッド接続を設定するには、次の手順を実行します。
| ステップ | 完了者 | 説明 | ||
|---|---|---|---|---|
1. |
AD管理者 |
BlueXPでアイデンティティフェデレーションを有効にするようにPingFederateサーバを設定します。
|
||
2. |
BlueXPの管理者 |
にアクセスします "[NetApp Federation Setupページ"^] BlueXPとの接続を確立します。 この手順を完了するには、AD管理者から次の情報を入手する必要があります。
この情報を使用して接続を作成すると、[フェデレーションセットアップ]ページに、次の手順で設定を完了するためにAD管理者に送信できるパラメータが一覧表示されます。
|
||
3. |
AD管理者 |
手順2が完了したら、[フェデレーションセットアップ]ページに表示されたパラメータを使用して、PingFederateサーバーで設定を完了します。 |
||
4. |
BlueXPの管理者 |
から接続をテストして有効にします "[NetApp Federation Setupページ"^] |
フェデレーテッド接続を更新しています
BlueXP管理者が接続を有効にすると、管理者はからいつでも接続を更新できます "[NetApp Federation Setupページ"^]
たとえば、新しい証明書をアップロードして接続を更新する必要がある場合があります。
接続を更新できるのは、接続を作成したBlueXP管理者のみです。管理者を追加する場合は、ネットアップサポートにお問い合わせください。