アイデンティティフェデレーションを使用する
変更を提案
PDF
アイデンティティフェデレーションを使用すると、グループやユーザを迅速に設定できます。また、ユーザは使い慣れたクレデンシャルを使用して StorageGRID にサインインできます。
アイデンティティフェデレーションの設定
管理者グループとユーザをActive Directory、OpenLDAP、Oracle Directory Serverなどの別のシステムで管理する場合は、アイデンティティフェデレーションを設定できます。
-
Grid Managerにはサポートされているブラウザを使用してサインインする必要があります。
-
特定のアクセス権限が必要です。
-
シングルサインオン(SSO)を有効にする場合は、Active Directoryをフェデレーテッドアイデンティティソースとして使用し、AD FSをアイデンティティプロバイダとして使用する必要があります。「シングルサインオンの使用要件」を参照してください。
-
アイデンティティプロバイダとしてActive Directory、OpenLDAP、またはOracle Directory Serverを使用している必要があります。
記載されていないLDAP v3サービスを使用する場合は、テクニカルサポートにお問い合わせください。 -
LDAP サーバとの通信に Transport Layer Security ( TLS )を使用する場合は、アイデンティティプロバイダが TLS 1.2 または 1.3 を使用している必要があります。
次の種類のフェデレーテッドグループをインポートする場合は、Grid Managerのアイデンティティソースを設定する必要があります。
-
管理者グループ。管理者グループ内のユーザは、グループに割り当てられた管理権限に基づいて、 Grid Manager にサインインしてタスクを実行できます。
-
独自のアイデンティティソースを使用しないテナントのテナントユーザグループ。テナントグループ内のユーザは、 Tenant Manager でグループに割り当てられた権限に基づいてタスクを実行し、 Tenant Manager にサインインしてタスクを実行できます。
-
[設定(Configuration )]>[*アクセス制御(* Access Control )]>[*アイデンティティフェデレーション
-
[ * アイデンティティフェデレーションを有効にする * ] を選択
LDAPサーバを設定するためのフィールドが表示されます。
-
LDAP サービスタイプセクションで、設定する LDAP サービスのタイプを選択します。
Active Directory 、 OpenLDAP 、または Other *を選択できます。
OpenLDAP *を選択した場合は、OpenLDAPサーバを設定する必要があります。OpenLDAPサーバの設定に関するガイドラインを参照してください。
Oracle Directory Server を使用する LDAP サーバーの値を設定するには、 * その他 * を選択します。 -
[* その他 *] を選択した場合は、 [LDAP 属性 ] セクションのフィールドに入力します。
-
* User Unique Name * : LDAP ユーザの一意な ID が含まれている属性の名前。この属性はと同じです
sAMAccountNameActive Directoryおよびの場合uidOpenLDAPの場合。Oracle Directory Serverを設定する場合は、と入力しますuid。 -
* User UUID * : LDAP ユーザの永続的な一意な ID が含まれている属性の名前。この属性はと同じです
objectGUIDActive Directoryおよびの場合entryUUIDOpenLDAPの場合。Oracle Directory Serverを設定する場合は、と入力しますnsuniqueid。指定した属性の各ユーザの値は、 16 バイトまたは文字列形式の 32 桁の 16 進数である必要があります。ハイフンは無視されます。 -
* Group Unique name *:LDAPグループの一意なIDが含まれている属性の名前。この属性はと同じです
sAMAccountNameActive Directoryおよびの場合cnOpenLDAPの場合。Oracle Directory Serverを設定する場合は、と入力しますcn。 -
* グループ UUID * : LDAP グループの永続的な一意な ID が含まれている属性の名前。この属性はと同じです
objectGUIDActive Directoryおよびの場合entryUUIDOpenLDAPの場合。Oracle Directory Serverを設定する場合は、と入力しますnsuniqueid。指定した属性の各グループの値は、 16 バイトまたは文字列形式の 32 桁の 16 進数である必要があります。ハイフンは無視されます。
-
-
Configure LDAP server(LDAPサーバの設定)セクションで、必要なLDAPサーバおよびネットワーク接続情報を入力します。
-
* Hostname *:LDAPサーバのホスト名またはIPアドレス。
-
* Port * : LDAP サーバへの接続に使用するポート。
STARTTLS のデフォルトポートは 389 、 LDAPS のデフォルトポートは 636 です。ただし、ファイアウォールが正しく設定されていれば、任意のポートを使用できます。 -
* Username * : LDAP サーバに接続するユーザの識別名( DN )の完全パス。
Active Directory の場合は、ダウンレベルログオン名またはユーザープリンシパル名を指定することもできます。 指定するユーザには、グループおよびユーザを表示する権限、および次の属性にアクセスする権限が必要です。
-
sAMAccountNameまたはuid -
objectGUID、entryUUID`または `nsuniqueid -
cn -
memberOfまたはisMemberOf
-
-
* Password * :ユーザ名に関連付けられたパスワード。
-
* Group base DN *:グループを検索するLDAPサブツリーの識別名(DN)の完全パス。Active Directory では、ベース DN に対して相対的な識別名( DC=storagegrid 、 DC=example 、 DC=com など)のグループをすべてフェデレーテッドグループとして使用できます。
*グループの一意な名前*値は、所属する*グループのベースDN *内で一意である必要があります。 -
* User base DN*:ユーザを検索するLDAPサブツリーの識別名(DN)の完全パス。
*ユーザーの一意な名前*値は、それぞれが属する*ユーザーベースDN *内で一意である必要があります。
-
-
[* Transport Layer Security(TLS)*]セクションで、セキュリティ設定を選択します。
-
* STARTTLSを使用(推奨)*:STARTTLSを使用してLDAPサーバとの通信を保護します。これが推奨されるオプションです。
-
* LDAPS を使用 * : LDAPS ( LDAP over SSL )オプションでは、 TLS を使用して LDAP サーバへの接続を確立します。このオプションは互換性を確保するためにサポートされています。
-
* TLS を使用しないでください * : StorageGRID システムと LDAP サーバの間のネットワークトラフィックは保護されません。
Active Directory サーバで LDAP 署名が適用される場合、 [TLS を使用しない ] オプションの使用はサポートされていません。STARTTLS または LDAPS を使用する必要があります。
-
-
STARTTLS または LDAPS を選択した場合は、接続の保護に使用する証明書を選択します。
-
オペレーティング・システムのCA証明書を使用:オペレーティング・システムにインストールされているデフォルトのCA証明書を使用して接続を保護します。
-
* カスタム CA 証明書を使用 * :カスタムセキュリティ証明書を使用します。
この設定を選択した場合は、カスタムセキュリティ証明書をコピーして CA 証明書テキストボックスに貼り付けます。
-
-
必要に応じて、*接続のテスト*を選択して、LDAPサーバーの接続設定を検証します。
接続が有効な場合は、ページの右上に確認メッセージが表示されます。
-
接続が有効な場合は、*保存*を選択します。
次のスクリーンショットは、Active Directoryを使用するLDAPサーバの設定例を示しています。
OpenLDAP サーバの設定に関するガイドライン
アイデンティティフェデレーションに OpenLDAP サーバを使用する場合は、 OpenLDAP サーバで特定の設定が必要です。
memberof オーバーレイと refint オーバーレイ
memberof オーバーレイと refint オーバーレイを有効にする必要があります。詳細については、OpenLDAPの管理者ガイドのリバースグループメンバーシップのメンテナンス手順を参照してください。
インデックス作成
次の OpenLDAP 属性とインデックスキーワードを設定する必要があります。
-
olcDbIndex: objectClass eq -
olcDbIndex: uid eq,pres,sub -
olcDbIndex: cn eq,pres,sub -
olcDbIndex: entryUUID eq
また、パフォーマンスを最適化するには、 Username のヘルプで説明されているフィールドにインデックスを設定してください。
OpenLDAPの管理者ガイドのリバースグループメンバーシップのメンテナンスに関する情報を参照してください。
アイデンティティソースとの強制同期
StorageGRID システムは、アイデンティティソースからフェデレーテッドグループおよびユーザを定期的に同期します。ユーザの権限をすぐに有効にしたり制限したりする必要がある場合は、同期を強制的に開始できます。
-
Grid Managerにはサポートされているブラウザを使用してサインインする必要があります。
-
特定のアクセス権限が必要です。
-
アイデンティティソースが有効になっている必要があります。
-
[設定(Configuration )]>[*アクセス制御(* Access Control )]>[*アイデンティティフェデレーション
アイデンティティフェデレーションページが表示されます。「* Synchronize *」ボタンは、ページの下部にあります。
-
[同期化(Synchronize)]をクリックします
同期が開始されたことを示す確認メッセージが表示されます。環境によっては、同期プロセスにしばらく時間がかかることがあります。
アイデンティティフェデレーション同期エラー * アラートは、アイデンティティソースからフェデレーテッドグループとユーザを同期する問題 がある場合にトリガーされます。
アイデンティティフェデレーションの無効化
グループとユーザのアイデンティティフェデレーションを一時的または永続的に無効にすることができます。アイデンティティフェデレーションを無効にすると、 StorageGRID とアイデンティティソース間のやり取りは発生しません。ただし、設定は保持されるため、簡単に再度有効にすることができます。
-
Grid Managerにはサポートされているブラウザを使用してサインインする必要があります。
-
特定のアクセス権限が必要です。
アイデンティティフェデレーションを無効にする前に、次の点に注意してください。
-
フェデレーテッドユーザはサインインできなくなります。
-
現在サインインしているフェデレーテッドユーザは、セッションが有効な間は StorageGRID システムに引き続きアクセスできますが、セッションが期限切れになると以降はサインインできなくなります。
-
StorageGRID システムとアイデンティティソース間の同期は行われず、同期されていないアカウントに対してはアラートやアラームが生成されません。
-
シングルサインオン(SSO)が*有効*または*サンドボックスモード*に設定されている場合、*アイデンティティフェデレーションを有効にする*チェックボックスは無効になります。アイデンティティフェデレーションを無効にするには、シングルサインオンページの SSO ステータスが * 無効 * になっている必要があります。
-
[設定(Configuration )]>[*アクセス制御(* Access Control )]>[*アイデンティティフェデレーション
-
[アイデンティティフェデレーションを有効にする*]チェックボックスをオフにします。
-
[ 保存( Save ) ] をクリックします。