日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

シングルサインオンの要件と考慮事項

10/01/2025

PDF

StorageGRIDシステムでシングルサインオン (SSO) を有効にする前に、要件と考慮事項を確認してください。

アイデンティティプロバイダの要件

StorageGRID は、次の SSO ID プロバイダー (IdP) をサポートしています。

アクティブディレクトリフェデレーションサービス (AD FS)
Azure アクティブディレクトリ (Azure AD)
PingFederate

SSO ID プロバイダーを構成する前に、 StorageGRIDシステムの ID フェデレーションを構成する必要があります。 ID フェデレーションに使用する LDAP サービスのタイプによって、実装できる SSO のタイプが制御されます。

構成されたLDAPサービスタイプ	SSO ID プロバイダーのオプション
Active Directory	Active Directory Azure PingFederate
Azure	Azure

構成されたLDAPサービスタイプ

SSO ID プロバイダーのオプション

Active Directory

Active Directory
Azure
PingFederate

Azure

AD FSの要件

AD FS の次のいずれかのバージョンを使用できます。

Windows Server 2022 AD FS
Windows Server 2019 AD FS
Windows Server 2016 AD FS

Windows Server 2016では、 "KB3201845 アップデート" 、またはそれ以上。

その他の要件

トランスポート層セキュリティ (TLS) 1.2 または 1.3
Microsoft .NET Framework バージョン 3.5.1 以上

Azureに関する考慮事項

SSO タイプとして Azure を使用し、ユーザーのユーザープリンシパル名にプレフィックスとして sAMAccountName が使用されていない場合、 StorageGRID がLDAP サーバーとの接続を失うとログインの問題が発生する可能性があります。ユーザーがサインインできるようにするには、LDAP サーバーへの接続を復元する必要があります。

サーバー証明書の要件

デフォルトでは、 StorageGRID は各管理ノードで管理インターフェイス証明書を使用して、グリッドマネージャ、テナントマネージャ、グリッド管理 API、およびテナント管理 API へのアクセスを保護します。StorageGRIDに対して証明書利用者信頼 (AD FS)、エンタープライズアプリケーション (Azure)、またはサービスプロバイダー接続 (PingFederate) を構成する場合は、サーバー証明書をStorageGRID要求の署名証明書として使用します。

まだお持ちでない場合は"管理インターフェース用のカスタム証明書を構成しました"、今すぐそうすべきです。カスタムサーバ証明書をインストールすると、その証明書はすべての管理ノードに使用され、すべてのStorageGRID証明書利用者信頼、エンタープライズアプリケーション、またはSP接続で使用できるようになります。

証明書利用者信頼、エンタープライズアプリケーション、またはSP接続で管理ノードのデフォルトのサーバー証明書を使用することはお勧めしません。ノードに障害が発生し、それを回復すると、新しいデフォルトのサーバー証明書が生成されます。回復されたノードにサインインする前に、証明書利用者信頼、エンタープライズアプリケーション、またはSP接続を新しい証明書で更新する必要があります。

管理ノードのサーバー証明書にアクセスするには、ノードのコマンドシェルにログインし、 /var/local/mgmt-api`ディレクトリ。カスタムサーバー証明書の名前は `custom-server.crt。ノードのデフォルトのサーバー証明書の名前は server.crt。

ポート要件

シングルサインオン (SSO) は、制限された Grid Manager ポートまたは Tenant Manager ポートでは使用できません。ユーザーをシングルサインオンで認証する場合は、デフォルトの HTTPS ポート (443) を使用する必要があります。見る"外部ファイアウォールでアクセスを制御する" 。