Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

PingFederateでサービスプロバイダー(SP)接続を作成する

PDF

PingFederate を使用して、システム内の各管理ノードのサービス プロバイダー (SP) 接続を作成します。プロセスを高速化するには、 StorageGRIDから SAML メタデータをインポートします。

開始する前に

  • StorageGRIDのシングル サインオンを構成し、SSO タイプとして Ping Federate を選択しました。

  • グリッド マネージャーのシングル サインオン ページで サンドボックス モード が選択されています。見る"サンドボックスモードを使用する"

  • システム内の各管理ノードには * SP接続 ID* があります。これらの値は、StorageGRIDシングル サインオン ページの管理ノードの詳細テーブルで確認できます。

  • システム内の各管理ノードの SAML メタデータ をダウンロードしました。

  • PingFederate Server でSP接続を作成した経験があること。

  • あなたはhttps://docs.pingidentity.com/pingfederate/latest/administrators_reference_guide/pf_administrators_reference_guide.html["管理者リファレンスガイド"^]PingFederate サーバー用。PingFederate のドキュメントには、詳細な手順と説明がステップバイステップで記載されています。

  • あなたは"管理者権限"PingFederate サーバー用。

タスク概要

これらの手順は、PingFederate Server バージョン 10.3 をStorageGRIDの SSO プロバイダーとして構成する方法をまとめたものです。 PingFederate の別のバージョンを使用している場合は、これらの手順を調整する必要がある可能性があります。ご使用のリリースの詳細な手順については、PingFederate Server のドキュメントを参照してください。

PingFederateの前提条件を完了する

StorageGRIDに使用するSP接続を作成する前に、PingFederate で前提条件となるタスクを完了する必要があります。 SP接続を構成するときは、これらの前提条件の情報を使用します。

データストアを作成する

まだ作成していない場合は、PingFederate を AD FS LDAP サーバーに接続するためのデータ ストアを作成します。使用した値を使用してください"アイデンティティ連携の設定"StorageGRIDで。

  • タイプ: ディレクトリ (LDAP)

  • LDAP タイプ: アクティブ ディレクトリ

  • バイナリ属性名: LDAP バイナリ属性タブに、表示されているとおりに objectGUID を入力します。

パスワード認証情報検証ツールを作成する

まだ作成していない場合は、パスワード資格情報検証を作成してください。

  • タイプ: LDAP ユーザー名 パスワード 資格情報検証

  • データ ストア: 作成したデータ ストアを選択します。

  • 検索ベース: LDAP からの情報を入力します (例: DC=saml、DC=sgws)。

  • 検索フィルター: sAMAccountName=${username}

  • スコープ: サブツリー

IdPアダプタインスタンスを作成する

まだ作成していない場合は、IdP アダプター インスタンスを作成します。

手順

  1. 認証 > 統合 > IdP アダプタ に移動します。

  2. *新しいインスタンスの作成*を選択します。

  3. [タイプ] タブで、[HTML フォーム IdP アダプタ] を選択します。

  4. IdP アダプタ タブで、「資格情報検証」に新しい行を追加する を選択します。

  5. 選択してくださいパスワード認証検証ツールあなたが作成したもの。

  6. [アダプタ属性] タブで、Pseudonymusername 属性を選択します。

  7. *保存*を選択します。

署名証明書を作成またはインポートする

署名証明書をまだ作成またはインポートしていない場合は、作成またはインポートします。

手順

  1. セキュリティ > 署名と復号化キーと証明書 に移動します。

  2. 署名証明書を作成またはインポートします。

PingFederateでSP接続を作成する

PingFederate でSP接続を作成するときは、管理ノードのStorageGRIDからダウンロードした SAML メタデータをインポートします。メタデータ ファイルには、必要な特定の値が多数含まれています。

ヒント ユーザーがどのノードにも安全にサインインおよびサインアウトできるように、 StorageGRIDシステム内の各管理ノードに対してSP接続を作成する必要があります。最初のSP接続を作成するには、次の手順に従います。次に、追加のSP接続を作成する必要な追加の接続を作成します。

SP接続タイプを選択

手順

  1. アプリケーション > 統合 > * SP接続* に移動します。

  2. *接続の作成*を選択します。

  3. *この接続にはテンプレートを使用しない*を選択します。

  4. プロトコルとして*ブラウザSSOプロファイル*と*SAML 2.0*を選択します。

SPメタデータをインポートする

手順

  1. [メタデータのインポート] タブで、[ファイル] を選択します。

  2. 管理ノードのStorageGRIDシングル サインオン ページからダウンロードした SAML メタデータ ファイルを選択します。

  3. メタデータの概要と、[一般情報] タブに表示される情報を確認します。

    パートナーのエンティティ ID と接続名は、 StorageGRID SP接続 ID に設定されます。 (例: 10.96.105.200-DC1-ADM1-105-200)。ベース URL は、 StorageGRID管理ノードの IP です。

  4. *次へ*を選択します。

IdPブラウザSSOを構成する

手順

  1. [ブラウザ SSO] タブから、[ブラウザ SSO の構成] を選択します。

  2. SAML プロファイル タブで、* SP開始 SSO*、* SP開始 SLO*、* IdP 開始 SSO*、および * IdP 開始 SLO* オプションを選択します。

  3. *次へ*を選択します。

  4. 「アサーションの有効期間」タブでは、変更を加えません。

  5. [アサーション作成] タブで、[アサーション作成の構成] を選択します。

    1. [ID マッピング] タブで、[標準] を選択します。

    2. [属性コントラクト] タブで、属性コントラクトとして SAML_SUBJECT を使用し、インポートされた未指定の名前形式を使用します。

  6. 契約の延長の場合は、「削除」を選択して削除します。 `urn:oid`は使用されません。

マップアダプタインスタンス

手順

  1. 認証ソース マッピング タブで、新しいアダプタ インスタンスのマップ を選択します。

  2. アダプタインスタンスタブで、アダプタインスタンスあなたが作成したもの。

  3. マッピング方法タブで、*データ ストアから追加の属性を取得する*を選択します。

  4. [属性ソースとユーザー検索] タブで、[属性ソースの追加] を選択します。

  5. データストアタブで説明を入力し、データストアと追加しました。

  6. LDAP ディレクトリ検索タブ:

    • Base DN を入力します。これは、LDAP サーバーのStorageGRIDで入力した値と完全に一致する必要があります。

    • 検索範囲として、「サブツリー」を選択します。

    • ルート オブジェクト クラスの場合は、objectGUID または userPrincipalName のいずれかの属性を検索して追加します。

  7. LDAP バイナリ属性エンコード タイプ タブで、objectGUID 属性に Base64 を選択します。

  8. LDAP フィルター タブで、sAMAccountName=${username} と入力します。

  9. [属性コントラクトの履行] タブで、[ソース] ドロップダウンから LDAP (属性) を選択し、[値] ドロップダウンから objectGUID または userPrincipalName のいずれかを選択します。

  10. 属性ソースを確認して保存します。

  11. フェールセーブ属性ソースタブで、*SSO トランザクションを中止する*を選択します。

  12. 概要を確認し、[完了] を選択します。

  13. *完了*を選択します。

プロトコル設定を構成する

手順

  1. * SP接続* > * ブラウザ SSO* > * プロトコル設定* タブで、* プロトコル設定の構成* を選択します。

  2. アサーションコンシューマサービスURLタブで、 StorageGRID SAMLメタデータからインポートされたデフォルト値(バインディングおよび `/api/saml-response`エンドポイント URL 用)。

  3. SLOサービスURLタブで、 StorageGRID SAMLメタデータからインポートされたデフォルト値(バインディングおよび `/api/saml-logout`エンドポイント URL 用。

  4. [許可される SAML バインディング] タブで、ARTIFACTSOAP をクリアします。 POSTREDIRECT のみが必要です。

  5. [署名ポリシー] タブで、[認証リクエストに署名を要求する] および [アサーションに常に署名する] チェックボックスをオンのままにします。

  6. [暗号化ポリシー] タブで、[なし] を選択します。

  7. 概要を確認し、[完了] を選択してプロトコル設定を保存します。

  8. 概要を確認し、[完了] を選択してブラウザ SSO 設定を保存します。

クレデンシャルを設定

手順

  1. SP接続タブから、*資格情報*を選択します。

  2. [資格情報] タブから、[資格情報の構成] を選択します。

  3. 選択してください署名証明書作成またはインポートした。

  4. *次へ*を選択して*署名検証設定の管理*に進みます。

    1. [信頼モデル] タブで、[アンカーなし] を選択します。

    2. [署名検証証明書] タブで、 StorageGRID SAML メタデータからインポートされた署名証明書情報を確認します。

  5. 概要画面を確認し、[保存] を選択してSP接続を保存します。

追加のSP接続を作成する

最初のSP接続をコピーして、グリッド内の各管理ノードに必要なSP接続を作成できます。コピーごとに新しいメタデータをアップロードします。

メモ 異なる管理ノードのSP接続では、パートナーのエンティティ ID、ベース URL、接続 ID、接続名、署名検証、および SLO 応答 URL を除き、同一の設定が使用されます。
手順

  1. 追加の管理ノードごとに初期SP接続のコピーを作成するには、[アクション] > [コピー] を選択します。

  2. コピーの接続 ID と接続名を入力し、[保存] を選択します。

  3. 管理ノードに対応するメタデータ ファイルを選択します。

    1. アクション > *メタデータで更新*を選択します。

    2. *ファイルを選択*を選択し、メタデータをアップロードします。

    3. *次へ*を選択します。

    4. *保存*を選択します。

  4. 未使用の属性によるエラーを解決します。

    1. 新しい接続を選択します。

    2. ブラウザ SSO の構成 > アサーション作成の構成 > 属性コントラクト を選択します。

    3. urn:oid のエントリを削除します。

    4. *保存*を選択します。