Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

PingFederate でサービスプロバイダ( SP )接続を作成します

共同作成者
PDF

PingFederate を使用して、システム内の管理ノードごとにサービスプロバイダ( SP )接続を作成します。処理時間を短縮するために、 StorageGRID から SAML メタデータをインポートします。

作業を開始する前に

  • StorageGRID にシングルサインオンを設定し、 SSO タイプとして「 Ping federate * 」を選択しました。

  • * Grid Manager のシングルサインオンページでサンドボックスモード * が選択されています。を参照してください "サンドボックスモードを使用する"

  • システム内の管理ノードごとに * SP 接続 ID * を用意しておきます。これらの値は、 StorageGRID のシングルサインオンページの管理ノード詳細テーブルにあります。

  • システムの管理ノードごとに * SAML メタデータ * をダウンロードしておきます。

  • PingFederate サーバーで SP 接続を作成した経験があります。

  • を使用することができますhttps://docs.pingidentity.com/bundle/pingfederate-103/page/kfj1564002962494.html["管理者向けリファレンスガイド"^] PingFederate サーバー用。PingFederate ドキュメントでは、詳細な手順と説明を説明しています。

  • PingFederate サーバーの管理者権限があります。

このタスクについて

ここでは、 StorageGRID の SSO プロバイダとして PingFederate Server バージョン 10.3 を設定する方法を簡単に説明します。別のバージョンの PingFederate を使用している場合は、これらの指示を適用する必要があります。ご使用のリリースの詳細な手順については、 PingFederate Server のマニュアルを参照してください。

PingFederate の前提条件を完了します

StorageGRID に使用する SP 接続を作成する前に、 PingFederate で前提条件のタスクを完了する必要があります。SP 接続を設定するときは、これらの前提条件の情報を使用します。

データストアの作成[[data-store]

まだ作成していない場合は、 PingFederate を AD FS LDAP サーバーに接続するデータストアを作成します。使用した値は、のときに使用したものです "アイデンティティフェデレーションの設定" StorageGRID の場合。

  • * タイプ * :ディレクトリ( LDAP )

  • * LDAP タイプ * : Active Directory

  • * バイナリ属性名 *: 「 LDAP バイナリ属性」タブに * objectGUID * を正確に入力します。

パスワードクレデンシャルバリデータの作成

パスワード認証情報バリデータをまだ作成していない場合は、作成します。

  • * 「 * 」と入力します。 LDAP ユーザ名パスワード資格情報検証ツール

  • * データストア *: 作成したデータストアを選択します。

  • * 検索ベース * : LDAP から情報を入力します(例: DC=SAML 、 DC=sgws )。

  • * 検索フィルタ * : sAMAccountName = $ { userName }

  • * スコープ * :サブツリー

IdPアダプタインスタンス[アダプタインスタンス]を作成します

IdP アダプタのインスタンスをまだ作成していない場合は作成します。

手順

  1. 「 * 認証 * > * 統合 * > * IdP アダプタ * 」に移動します。

  2. [ 新規インスタンスの作成( Create New Instance ) ] を選択します

  3. [ タイプ ] タブで、 [* HTML フォーム IdP アダプタ * ] を選択します。

  4. [IdP アダプタ ] タブで、 [ 資格情報検証ツール ] に新しい行を追加する *] を選択します。

  5. を選択します パスワードクレデンシャルバリデータ を作成しました。

  6. [ アダプタの属性 ] タブで、 pseudonym * の *username 属性を選択します。

  7. [ 保存( Save ) ] を選択します。

署名証明書の作成またはインポート[signing-certificate]

署名証明書を作成またはインポートしていない場合は、作成します。

手順

  1. 「 * Security * > * Signing & Decryption keys & Certificates * 」に移動します。

  2. 署名証明書を作成またはインポートします。

PingFederate で SP 接続を作成します

PingFederate で SP 接続を作成すると、管理ノード用に StorageGRID からダウンロードした SAML メタデータがインポートされます。メタデータファイルには、必要な値の多くが含まれています。

ヒント ユーザが任意のノードに対して安全にサインインおよびサインアウトできるように、 StorageGRID システム内の管理ノードごとに SP 接続を作成する必要があります。次の手順に従って、最初の SP 接続を作成します。次に、に進みます 追加の SP 接続を作成します 追加の接続を作成するには、次の手順を実行します。

SP 接続タイプを選択します

手順

  1. [ * アプリケーション * > * 統合 * > * SP 接続 * ] に移動します。

  2. [ 接続の作成 *] を選択します。

  3. 「 * この接続にテンプレートを使用しない * 」を選択します。

  4. ブラウザ SSO プロファイル * および * SAML 2.0 * をプロトコルとして選択します。

SP メタデータをインポートします

手順

  1. メタデータのインポートタブで、 * ファイル * を選択します。

  2. 管理ノードの StorageGRID シングルサインオンページからダウンロードした SAML メタデータファイルを選択します。

  3. [Metadata Summary]と[General Info]タブに表示される情報を確認します。

    パートナーのエンティティ ID と接続名は、 StorageGRID SP 接続 ID に設定されています。(例: 10.96.105.200-DC1-ADM1-105-200 )。ベース URL は、 StorageGRID 管理ノードの IP です。

  4. 「 * 次へ * 」を選択します。

IdP ブラウザの SSO を設定する

手順

  1. ブラウザ SSO タブで、 * ブラウザ SSO の設定 * を選択します。

  2. SAML プロファイルタブで、 * SP が開始した SSO * 、 * SP - 初期 SLO * 、 * IdP が開始した SSO * 、および * IdP によって開始された SLO * オプションを選択します。

  3. 「 * 次へ * 」を選択します。

  4. [Assertion Lifetime (アサーションの有効期間) ] タブで、変更を行いません。

  5. [ アサーションの作成 ] タブで、 [ * アサーションの作成の設定 * ] を選択します。

    1. [ID マッピング ] タブで、 [* 標準 * ] を選択します。

    2. [ 属性契約( Attribute Contract ) ] タブで、属性契約として * sama_subject * を使用し、インポートされた名前形式を指定しません。

  6. [Extend the Contract]で、*[Delete]*を選択してを削除します `urn:oid`は使用されません。

アダプタインスタンスをマッピングします

手順

  1. [Authentication Source Mapping] タブで、 [* Map New Adapter Instance] を選択します。

  2. [ アダプタインスタンス ] タブで、を選択します アダプタインスタンス を作成しました。

  3. [ マッピング方法 ] タブで、 [ データストアから追加属性を取得する *] を選択します。

  4. [ 属性ソースとユーザールックアップ ] タブで、 [ 属性ソースの追加 ] を選択します。

  5. [ データストア ] タブで、概要 を入力し、を選択します データストア を追加しました。

  6. LDAP ディレクトリ検索タブで、次の手順を実行します。

    • 「 * ベース DN * 」を入力します。この DN は、 LDAP サーバの StorageGRID で入力した値と完全に一致している必要があります。

    • 検索範囲( Search Scope )で、 * サブツリー * ( * Subtree * )を選択します。

    • ルートオブジェクトクラスの場合は、 * objectGUID * 属性を検索して追加します。

  7. [LDAP Binary Attribute Encoding Types] タブで、 *objectGUID * 属性として *Base64 * を選択します。

  8. LDAP Filter タブで、 * sAMAccountName = $ { userName } * と入力します。

  9. [ 属性契約履行 ] タブで、 [ ソース ] ドロップダウンから [LDAP( 属性 )] を選択し、 [ 値 ] ドロップダウンから [objectGUID] を選択します。

  10. 属性ソースを確認して保存します。

  11. Failsave Attribute Source タブで、 * Abort the SSO Transaction * を選択します。

  12. 概要を確認し、「 * Done * 」を選択します。

  13. 「 Done (完了)」を選択します。

プロトコルを設定します

手順

  1. * SP Connection * > * Browser SSO * > * Protocol Settings * タブで、 * Configure Protocol Settings * を選択します。

  2. [アサーションコンシューマサービスURL]タブで、StorageGRID SAMLメタデータからインポートされたデフォルト値を受け入れます(バインドおよびの場合は* POST *) /api/saml-response (エンドポイントURLの場合)。

  3. [SLOサービスURLs]タブで、StorageGRID SAMLメタデータ(バインドおよび用の* redirect*)からインポートされたデフォルト値を受け入れます /api/saml-logout エンドポイントURLの場合。

  4. [Allowable SAML Bindings]タブで、[artifact]および[SOAP]を選択解除します。必要なのは、 * POST * および * redirect * のみです。

  5. [Signature Policy]タブで、[* Require Authn Requests to be Signed]チェックボックスと[* Always Sign Assertion]チェックボックスをオンのままにします。

  6. [ 暗号化ポリシー ] タブで、 [ * なし * ] を選択します。

  7. 概要を確認し、「 * Done * 」を選択してプロトコル設定を保存します。

  8. 概要を確認し、「完了」を選択して、ブラウザ SSO 設定を保存します。

クレデンシャルを設定

手順

  1. [ SP 接続 ] タブで ' [ * 資格情報 * ] を選択します

  2. 資格情報タブで、 * 資格情報の設定 * を選択します。

  3. を選択します 署名証明書 を作成またはインポートしました。

  4. 「 * 次へ * 」を選択して、「 * 署名検証設定の管理 * 」に移動します。

    1. [ 信頼モデル ] タブで、 [*Unanchored] を選択します。

    2. [Signature Verification Certificate] タブで、 StorageGRID SAML メタデータからインポートした署名証明書情報を確認します。

  5. 概要画面を確認し、 [ * 保存 * ] を選択して SP 接続を保存します。

追加の SP 接続を作成します

最初の SP 接続をコピーして、グリッド内の管理ノードごとに必要な SP 接続を作成できます。コピーごとに新しいメタデータをアップロードします。

メモ 異なる管理ノードの SP 接続では、パートナーのエンティティ ID 、ベース URL 、接続 ID 、接続名、署名の検証を除き、同じ設定を使用します。 と SLO 応答 URL 。
手順

  1. * Action * > * Copy * を選択して、追加の管理ノードごとに最初の SP 接続のコピーを作成します。

  2. コピーの接続 ID と接続名を入力し、 * 保存 * を選択します。

  3. 管理ノードに対応するメタデータファイルを選択します。

    1. 「 * アクション * > * メタデータで更新 * 」を選択します。

    2. 「 * ファイルを選択」を選択し、メタデータをアップロードします。

    3. 「 * 次へ * 」を選択します。

    4. [ 保存( Save ) ] を選択します。

  4. 未使用の属性によるエラーを解決します。

    1. 新しい接続を選択します。

    2. ブラウザ SSO の設定 > アサーションの作成の設定 > 属性契約 * を選択します。

    3. urn : Oid * のエントリを削除します。

    4. [ 保存( Save ) ] を選択します。