Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SSOの設定

共同作成者 netapp-lhalbert
PDF

すべてのStorageGRIDユーザーに対してシングル サインオン (SSO) を有効にする前に、SSO の構成ウィザードに従ってサンドボックス モードに入り、シングル サインオン (SSO) を構成してテストすることができます。 SSO を有効にした後、構成を変更または再テストする必要がある場合は、サンドボックス モードに戻ることができます。

開始する前に

  • Grid Managerにサインインしておきます"サポートされている Web ブラウザ"

  • あなたはを持っています"rootアクセス権限"

  • StorageGRID システムにアイデンティティフェデレーションを設定しておきます。

  • アイデンティティ フェデレーション LDAP サービス タイプ では、使用する予定の SSO アイデンティティ プロバイダーに基づいて、Active Directory または Entra ID のいずれかを選択しました。

    LDAP サービスタイプが設定されました SSO アイデンティティプロバイダのオプション

    Active Directory フェデレーションサービス( AD FS )

    • Active Directory

    • エントラID

    • PingFederate

    エントラID

    エントラID
タスクの内容

SSO が有効な場合、ユーザが管理ノードにサインインしようとすると、 StorageGRID から SSO アイデンティティプロバイダに認証要求が送信されます。次に、 SSO アイデンティティプロバイダは、認証要求が成功したかどうかを示す認証応答を StorageGRID に返します。成功した要求の場合:

  • Active Directory または PingFederate からの応答には、ユーザの Universally Unique Identifier ( UUID )が含まれています。

  • Entra ID からの応答には、ユーザー プリンシパル名 (UPN) が含まれます。

StorageGRID (サービス プロバイダー) と SSO ID プロバイダーがユーザー認証要求について安全に通信できるようにするには、次のタスクを完了します。

  1. StorageGRIDで設定を構成します。

  2. SSO ID プロバイダーのソフトウェアを使用して、各管理ノードに対して証明書利用者信頼 (AD FS)、エンタープライズ アプリケーション (Entra ID)、またはサービス プロバイダー (PingFederate) を作成します。

  3. StorageGRIDに戻り、SSO を有効にします。

サンドボックス モードを使用すると、この双方向の構成を簡単に実行でき、SSO を有効にする前にすべての設定をテストできます。サンドボックス モードを使用している場合、ユーザーは SSO を使用してサインインできません。

ウィザードにアクセスします

手順

  1. 構成 > アクセス制御 > シングル サインオン を選択します。シングル サインオン ページが表示されます。

    メモ [SSO 設定の構成] ボタンが無効になっている場合は、ID プロバイダーをフェデレーション ID ソースとして構成していることを確認します。。 "シングルサインオンの要件と考慮事項"

  2. *SSO設定の構成*を選択します。 「ID プロバイダーの詳細を提供する」ページが表示されます。

IDプロバイダーの詳細を入力する

手順

  1. ドロップダウンリストから * SSO タイプ * を選択します。

  2. SSO タイプとして Active Directory を選択した場合は、Active Directory フェデレーション サービス (AD FS) に表示されるとおりに、ID プロバイダーの フェデレーション サービス名 を入力します。

    メモ フェデレーションサービス名を確認するには、 Windows Server Manager に移動します。[ ツール *>*AD FS 管理 *] を選択します。[ アクション ] メニューから、 [ * フェデレーションサービスのプロパティの編集 * ] を選択します。フェデレーションサービス名が 2 番目のフィールドに表示されます。

  3. StorageGRID 要求への応答としてアイデンティティプロバイダが SSO 設定情報を送信するときに、接続の保護に使用する TLS 証明書を指定します。

    • * オペレーティング・システムの CA 証明書を使用 * :オペレーティング・システムにインストールされているデフォルトの CA 証明書を使用して、接続を保護します。

    • * カスタム CA 証明書を使用 * :カスタム CA 証明書を使用して接続を保護します。

      この設定を選択した場合は、カスタム証明書のテキストをコピーし、 * CA 証明書 * テキストボックスに貼り付けます。

    • * Do not use TLS* : TLS 証明書を使用して接続を保護しないでください。

      注意 CA証明書を変更した場合は、すぐに"管理ノードでmgmt-apiサービスを再起動します。"Grid ManagerでSSOが成功するかどうかをテストします。

  4. *続行*を選択します。 「証明書利用者識別子の提供」ページが表示されます。

証明書利用者識別子を提供する

  1. 選択した SSO タイプに基づいて、[証明書利用者識別子を提供する] ページのフィールドに入力します。

    Active Directory

    1. StorageGRIDの Relying party identifier を指定します。この値は、AD FS 内の各証明書利用者信頼に使用する名前を制御します。

      • たとえば、グリッドに管理ノードが1つしかなく、今後管理ノードを追加する予定がない場合は、または `StorageGRID`と入力し `SG`ます。

      • グリッドに複数の管理ノードが含まれている場合は、文字列 [HOSTNAME]`識別子内。例: `SG-[HOSTNAME] 。この文字列を含めると、ノードのホスト名に基づいて、グリッド内の各管理ノードの依存パーティ ID を示すテーブルが作成されます。

        メモ 証明書利用者信頼は StorageGRID システム内の管理ノードごとに作成する必要があります。管理ノードごとに証明書利用者信頼を作成することで、ユーザは管理ノードに対して安全にサインイン / サインアウトすることができます。

    2. *保存してサンドボックスモードに入る*を選択します。

    エントラID

    1. エンタープライズ アプリケーション セクションで、 StorageGRIDの エンタープライズ アプリケーション名 を指定します。この値は、Entra ID 内の各エンタープライズ アプリケーションに使用する名前を制御します。

      • たとえば、グリッドに管理ノードが1つしかなく、今後管理ノードを追加する予定がない場合は、または `StorageGRID`と入力し `SG`ます。

      • グリッドに複数の管理ノードが含まれている場合は、文字列 [HOSTNAME]`識別子内。例: `SG-[HOSTNAME] 。この文字列を含めると、ノードのホスト名に基づいて、システム内の各管理ノードのエンタープライズ アプリケーション名を示すテーブルが作成されます。

        メモ StorageGRID システムで管理ノードごとにエンタープライズアプリケーションを作成する必要があります。管理ノードごとにエンタープライズアプリケーションを用意することで、ユーザはどの管理ノードに対しても安全にサインイン / サインアウトすることができます。

    2. 以下の手順に従ってください"Entra IDでエンタープライズアプリケーションを作成する"表にリストされている各管理ノードに対してエンタープライズ アプリケーションを作成します。

    3. Entra ID から、各エンタープライズ アプリケーションのフェデレーション メタデータ URL をコピーします。次に、この URL をStorageGRIDの対応する Federation metadata URL フィールドに貼り付けます。

    4. すべての管理ノードのフェデレーション メタデータ URL をコピーして貼り付けた後、[保存してサンドボックス モードに入る] を選択します。

    PingFederate

    1. Service Provider ( SP ;サービスプロバイダ)セクションで、 StorageGRID の * SP 接続 ID * を指定します。この値は、 PingFederate の各 SP 接続に使用する名前を制御します。

      • たとえば、グリッドに管理ノードが1つしかなく、今後管理ノードを追加する予定がない場合は、または `StorageGRID`と入力し `SG`ます。

      • グリッドに複数の管理ノードが含まれている場合は、文字列 [HOSTNAME]`識別子内。例: `SG-[HOSTNAME] 。この文字列を含めると、ノードのホスト名に基づいて、システム内の各管理ノードのSP接続 ID を示すテーブルが作成されます。

        メモ StorageGRID システムで管理ノードごとに SP 接続を作成する必要があります。管理ノードごとに SP 接続を確立することで、ユーザは管理ノードに対して安全にサインイン / サインアウトすることができます。

    2. 各管理ノードのフェデレーションメタデータの URL を * Federation metadata url * フィールドで指定します。

      次の形式を使用します。

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    3. *保存してサンドボックスモードに入る*を選択します。

証明書利用者信頼、エンタープライズアプリケーション、または SP 接続を設定する

構成を保存してサンドボックス モードに入ると、選択した SSO タイプの構成を完了してテストできます。

StorageGRID は、必要な限りサンドボックス モードのままにすることができます。ただし、サインインできるのはフェデレーション ユーザーとローカル ユーザーのみです。

Active Directory
手順

  1. Active Directory フェデレーションサービス( AD FS )に移動します。

  2. 「SSO の構成」ページの表に示されている各証明書利用者 ID を使用して、 StorageGRIDの 1 つ以上の証明書利用者信頼を作成します。

    次の表に示す管理ノードごとに信頼を 1 つ作成する必要があります。

    手順については、を参照してください"AD FS に証明書利用者信頼を作成します"

エントラID
手順

  1. 現在サインインしている管理ノードのシングルサインオンページから、 SAML メタデータをダウンロードして保存するボタンを選択します。

  2. グリッド内の他の管理ノードについて、上記の手順を繰り返します。

    1. ノードにサインインします。

    2. 構成 > アクセス制御 > シングル サインオン を選択します。

    3. そのノードの SAML メタデータをダウンロードして保存します。

  3. Azure ポータルに移動します。

  4. 以下の手順に従ってください"Entra IDでエンタープライズアプリケーションを作成する"各管理ノードの SAML メタデータ ファイルを対応する Entra ID エンタープライズ アプリケーションにアップロードします。

PingFederate
手順

  1. 現在サインインしている管理ノードのシングルサインオンページから、 SAML メタデータをダウンロードして保存するボタンを選択します。

  2. グリッド内の他の管理ノードについて、上記の手順を繰り返します。

    1. ノードにサインインします。

    2. 構成 > アクセス制御 > シングル サインオン を選択します。

    3. そのノードの SAML メタデータをダウンロードして保存します。

  3. 「 PingFederate 」に移動します。

  4. "StorageGRID 用に 1 つ以上の SP 接続を作成します" 。各管理ノードのSP接続 ID ([SSO の構成] ページの表に表示) と、その管理ノード用にダウンロードした SAML メタデータを使用します。

    次の表に示す管理ノードごとに 1 つの SP 接続を作成する必要があります。

テスト構成

StorageGRIDシステム全体にシングル サインオンの使用を強制する前に、各管理ノードに対してシングル サインオンとシングル ログアウトが正しく設定されていることを確認してください。

Active Directory
手順

  1. 「SSO の構成」ページで、ウィザードの「構成のテスト」手順のリンクを見つけます。

    URL は、 [ * フェデレーションサービス名 * ( * Federation service name * ) ] フィールドに入力した値から取得されます。

  2. リンクを選択するか、 URL をコピーしてブラウザに貼り付け、アイデンティティプロバイダのサインオンページにアクセスします。

  3. SSO を使用して StorageGRID にサインインできることを確認するには、 * 次のいずれかのサイトにサインイン * を選択し、プライマリ管理ノードの証明書利用者 ID を選択して * サインイン * を選択します。

  4. フェデレーテッドユーザのユーザ名とパスワードを入力します。

    • SSO サインインおよびログアウト処理が成功すると、成功のメッセージが表示されます。

    • SSO 処理が失敗すると、エラーメッセージが表示されます。問題 を修正し、ブラウザのクッキーを消去してやり直してください。

  5. 同じ手順を繰り返して、グリッド内の管理ノードごとに SSO 接続を確認します。

エントラID
手順

  1. Azure ポータルのシングルサインオンページに移動します。

  2. [ このアプリケーションをテストする *] を選択します。

  3. フェデレーテッドユーザのクレデンシャルを入力します。

    • SSO サインインおよびログアウト処理が成功すると、成功のメッセージが表示されます。

    • SSO 処理が失敗すると、エラーメッセージが表示されます。問題 を修正し、ブラウザのクッキーを消去してやり直してください。

  4. 同じ手順を繰り返して、グリッド内の管理ノードごとに SSO 接続を確認します。

PingFederate
手順

  1. 「SSO の構成」ページで、サンドボックス モード メッセージの最初のリンクを選択します。

    一度に 1 つのリンクを選択してテストします。

  2. フェデレーテッドユーザのクレデンシャルを入力します。

    • SSO サインインおよびログアウト処理が成功すると、成功のメッセージが表示されます。

    • SSO 処理が失敗すると、エラーメッセージが表示されます。問題 を修正し、ブラウザのクッキーを消去してやり直してください。

  3. 次のリンクを選択して、グリッド内の各管理ノードの SSO 接続を確認します。

    「ページの有効期限が切れました」というメッセージが表示された場合は、ブラウザで「 * 戻る * 」ボタンを選択し、クレデンシャルを再送信してください。

シングルサインオンを有効にします

SSO を使用して各管理ノードにサインインできることを確認したら、 StorageGRID システム全体で SSO を有効にできます。

ヒント SSO が有効になっている場合は、すべてのユーザが SSO を使用して Grid Manager 、テナントマネージャ、グリッド管理 API 、およびテナント管理 API にアクセスする必要があります。ローカルユーザは StorageGRID にアクセスできなくなります。
手順

  1. SSO 構成ウィザードのテスト構成手順で、SSO を有効にする を選択します。

  2. 警告メッセージを確認し、*SSO を有効にする*を選択します。

    シングル サインオンが有効になりました。シングル サインオン ページが表示され、先ほど構成した SSO の詳細が表示されます。

  3. 設定を編集するには、[編集] を選択します。

  4. シングル サインオンを無効にするには、[SSO を無効にする] を選択します。

ヒント Azure ポータルを使用しており、Entra ID にアクセスするために使用するのと同じコンピューターからStorageGRID にアクセスする場合は、Azure ポータル ユーザーが承認されたStorageGRIDユーザー ( StorageGRIDにインポートされたフェデレーション グループ内のユーザー) であることを確認するか、 StorageGRIDにサインインする前に Azure ポータルからログアウトしてください。