Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

アイデンティティフェデレーションを使用する

共同作成者 netapp-lhalbert netapp-pcarriga
PDF

アイデンティティフェデレーションを使用すると、テナントグループとテナントユーザを迅速に設定できます。またテナントユーザは、使い慣れたクレデンシャルを使用してテナントアカウントにサインインできます。

Tenant Manager 用のアイデンティティフェデレーションを設定する

テナント グループとユーザーを Active Directory、Microsoft Entra ID、OpenLDAP、Oracle Directory Server などの別のシステムで管理する場合は、Tenant Manager の ID フェデレーションを構成できます。

開始する前に

  • テナントマネージャーにサインインするには、"サポートされている Web ブラウザ"

  • が設定されたユーザグループに属している"rootアクセス権限"必要があります。

  • アイデンティティ プロバイダーとして、Active Directory、Microsoft Entra ID、OpenLDAP、または Oracle Directory Server を使用しています。

    メモ リストにない LDAP v3 サービスを使用する場合は、テクニカル サポートにお問い合わせください。

  • OpenLDAP を使用する場合は、 OpenLDAP サーバを設定する必要があります。を参照して OpenLDAP サーバの設定に関するガイドライン

  • LDAP サーバとの通信に Transport Layer Security ( TLS )を使用する場合は、アイデンティティプロバイダが TLS 1.2 または 1.3 を使用している必要があります。を参照して "発信 TLS 接続でサポートされる暗号"

タスクの内容

テナントにアイデンティティフェデレーションサービスを設定できるかどうかは、テナントアカウントの設定方法によって異なります。テナントが Grid Manager 用に設定されたアイデンティティフェデレーションサービスを共有する場合があります。[Identity Federation]ページにアクセスしたときにこのメッセージが表示される場合は、このテナントに別のフェデレーテッドアイデンティティソースを設定することはできません。

テナントがアイデンティティフェデレーションを共有

構成を入力します

フェデレーションの識別を設定するときは、StorageGRID がLDAPサービスに接続するために必要な値を指定します。

手順

  1. アクセス管理 > *アイデンティティ連携*を選択します。

  2. [ * アイデンティティフェデレーションを有効にする * ] を選択

  3. LDAP サービスタイプセクションで、設定する LDAP サービスのタイプを選択します。

    LDAP サービスタイプオプションを示すアイデンティティフェデレーションページ

    Oracle Directory Server を使用する LDAP サーバーの値を設定するには、 * その他 * を選択します。

  4. [* その他 *] を選択した場合は、 [LDAP 属性 ] セクションのフィールドに入力します。それ以外の場合は、次の手順に進みます。

    • ユーザーの一意の名前: LDAP ユーザーの一意の識別子を含む属性の名前。この属性は、 sAMAccountName Active Directoryおよび uid`OpenLDAP 用。 Oracle Directory Serverを構成する場合は、次のように入力します。 `uid

    • ユーザー UUID: LDAP ユーザーの永続的な一意の識別子を含む属性の名前。この属性は、 objectGUID Active Directoryおよび entryUUID`OpenLDAP 用。 Oracle Directory Serverを構成する場合は、次のように入力します。 `nsuniqueid 。指定された属性の各ユーザーの値は、16 バイト形式または文字列形式の 32 桁の 16 進数である必要があります。ハイフンは無視されます。

    • グループの一意の名前: LDAP グループの一意の識別子を含む属性の名前。この属性は、 sAMAccountName Active Directoryおよび cn`OpenLDAP 用。 Oracle Directory Serverを構成する場合は、次のように入力します。 `cn

    • グループ UUID: LDAP グループの永続的な一意の識別子を含む属性の名前。この属性は、 objectGUID Active Directoryおよび entryUUID`OpenLDAP 用。 Oracle Directory Serverを構成する場合は、次のように入力します。 `nsuniqueid 。指定された属性の各グループの値は、16 バイト形式または文字列形式の 32 桁の 16 進数である必要があります。ハイフンは無視されます。

  5. すべての LDAP サービスタイプについて、 LDAP サーバの設定セクションに必要な LDAP サーバおよびネットワーク接続情報を入力します。

    • * Hostname * : LDAP サーバの完全修飾ドメイン名( FQDN )または IP アドレス。

    • * Port * : LDAP サーバへの接続に使用するポート。

      メモ STARTTLS のデフォルトポートは 389 、 LDAPS のデフォルトポートは 636 です。ただし、ファイアウォールが正しく設定されていれば、任意のポートを使用できます。

    • * Username * : LDAP サーバに接続するユーザの識別名( DN )の完全パス。

      Active Directory の場合は、ダウンレベルログオン名またはユーザープリンシパル名を指定することもできます。

      指定するユーザには、グループおよびユーザを表示する権限、および次の属性にアクセスする権限が必要です。

      • sAMAccountName`または `uid

      • objectGUIDentryUUID、または nsuniqueid

      • cn

      • memberOf`または `isMemberOf

      • * Active Directory *: objectSidprimaryGroupIDuserAccountControl、および userPrincipalName

      • エントラID: accountEnabled`そして `userPrincipalName

    • * Password * :ユーザ名に関連付けられたパスワード。

      メモ 今後パスワードを変更する場合は、このページでパスワードを更新する必要があります。

    • * Group Base DN * :グループを検索する LDAP サブツリーの識別名( DN )の完全パス。Active Directory では、ベース DN に対して相対的な識別名( DC=storagegrid 、 DC=example 、 DC=com など)のグループをすべてフェデレーテッドグループとして使用できます。

      メモ * グループの一意な名前 * 値は、所属する * グループベース DN * 内で一意である必要があります。

    • * User Base DN * :ユーザを検索する LDAP サブツリーの識別名( DN )の完全パス。

      メモ * ユーザーの一意な名前 * 値は、それぞれが属する * ユーザーベース DN * 内で一意である必要があります。

    • ユーザー名のバインド形式(オプション):パターンを自動的に決定できない場合にStorageGRID が使用するデフォルトのユーザー名パターン。

      StorageGRID がサービスアカウントにバインドできない場合にユーザがサインインできるようにするため、 * バインドユーザ名形式 * を指定することを推奨します。

      次のいずれかのパターンを入力します。

      • UserPrincipalName パターン (AD および Entra ID): [USERNAME]@example.com

      • ダウンレベル ログオン名パターン (AD および Entra ID): example\[USERNAME]

      • 識別名パターンCN=[USERNAME],CN=Users,DC=example,DC=com

        記載されているとおりに * [username] * を含めます。

  6. Transport Layer Security ( TLS )セクションで、セキュリティ設定を選択します。

    • STARTTLS を使用する: STARTTLS を使用して、LDAP サーバーとの通信を保護します。これは、Active Directory、OpenLDAP、またはその他の場合に推奨されるオプションですが、このオプションは Microsoft Entra ID ではサポートされていません。

    • LDAPS を使用する: LDAPS (LDAP over SSL) オプションは、TLS を使用して LDAP サーバーへの接続を確立します。 Microsoft Entra ID の場合はこのオプションを選択する必要があります。

    • TLS を使用しない: StorageGRIDシステムと LDAP サーバー間のネットワーク トラフィックは保護されません。このオプションは Microsoft Entra ID ではサポートされていません。

      メモ Active Directory サーバーが LDAP 署名を強制している場合、「TLS を使用しない」オプションの使用はサポートされません。 STARTTLS または LDAPS を使用する必要があります。

  7. STARTTLS または LDAPS を選択した場合は、接続の保護に使用する証明書を選択します。

    • * オペレーティングシステムの CA 証明書を使用 * :オペレーティングシステムにインストールされているデフォルトの Grid CA 証明書を使用して接続を保護します。

    • * カスタム CA 証明書を使用 * :カスタムセキュリティ証明書を使用します。

      この設定を選択した場合は、カスタムセキュリティ証明書をコピーして CA 証明書テキストボックスに貼り付けます。

接続をテストして設定を保存します

すべての値を入力したら、設定を保存する前に接続をテストする必要があります。StorageGRID では、 LDAP サーバの接続設定とバインドユーザ名の形式が指定されている場合は検証されます。

手順

  1. [ 接続のテスト * ] を選択します。

  2. バインドユーザー名の形式を指定しなかった場合:

    • 接続設定が有効な場合は、「Test connection successful」というメッセージが表示されます。[ 保存( Save ) ] を選択して、構成を保存します。

    • 接続設定が無効な場合は、「test connection could not be established」というメッセージが表示されます。[ 閉じる( Close ) ] を選択します。その後、問題を解決して接続を再度テストします。

  3. バインドユーザ名の形式を指定した場合は、有効なフェデレーテッドユーザのユーザ名とパスワードを入力します。

    たとえば、自分のユーザ名とパスワードを入力します。ユーザ名に特殊文字(@、/など)を使用しないでください。

    アイデンティティフェデレーションでは、バインドユーザ名の形式を検証するよう求められ

    • 接続設定が有効な場合は、「Test connection successful」というメッセージが表示されます。[ 保存( Save ) ] を選択して、構成を保存します。

    • 接続設定、バインドユーザ名形式、またはテストユーザ名とパスワードが無効な場合は、エラーメッセージが表示されます。問題を解決してから、もう一度接続をテストしてください。

アイデンティティソースとの強制同期

StorageGRID システムは、アイデンティティソースからフェデレーテッドグループおよびユーザを定期的に同期します。ユーザの権限をすぐに有効にしたり制限したりする必要がある場合は、同期を強制的に開始できます。

手順

  1. アイデンティティフェデレーションページに移動します。

  2. ページの上部にある「 * サーバーを同期」を選択します。

    環境によっては、同期プロセスにしばらく時間がかかることがあります。

    メモ アイデンティティフェデレーション同期エラー * アラートは、アイデンティティソースからフェデレーテッドグループとユーザを同期する問題 がある場合にトリガーされます。

アイデンティティフェデレーションを無効にする

グループおよびユーザーの ID フェデレーションを一時的または永続的に無効にすることができます。アイデンティティ フェデレーションが無効になっている場合、 StorageGRIDとアイデンティティ ソース間の通信は行われません。ただし、構成した設定はすべて保持されるため、将来的に ID フェデレーションを簡単に再度有効にすることができます。

タスクの内容

アイデンティティフェデレーションを無効にする前に、次の点に注意してください。

  • フェデレーテッドユーザはサインインできなくなります。

  • 現在サインインしているフェデレーテッドユーザは、セッションが有効な間は StorageGRID システムに引き続きアクセスできますが、セッションが期限切れになると以降はサインインできなくなります。

  • StorageGRIDシステムとアイデンティティ ソース間の同期は行われず、同期されていないアカウントに対してアラートは発生しません。

  • シングル サインオン (SSO) ステータスが 有効 または サンドボックス モード の場合、ID フェデレーションを有効にする チェックボックスは無効になります。 ID フェデレーションを無効にする前に、シングル サインオン ページの SSO ステータスを 無効 にする必要があります。見る"シングルサインオンを無効にします"

手順

  1. アイデンティティフェデレーションページに移動します。

  2. [アイデンティティフェデレーションを有効にする]*チェックボックスをオフにします。

OpenLDAP サーバの設定に関するガイドライン

アイデンティティフェデレーションに OpenLDAP サーバを使用する場合は、 OpenLDAP サーバで特定の設定が必要です。

注意 Active Directory または Microsoft Entra ID 以外の ID ソースの場合、 StorageGRID は外部的に無効にされているユーザーへの S3 アクセスを自動的にブロックしません。 S3 アクセスをブロックするには、ユーザーの S3 キーを削除するか、すべてのグループからユーザーを削除します。

memberof オーバーレイと refint オーバーレイ

memberof オーバーレイと refint オーバーレイを有効にする必要があります。詳細については、のリバースグループメンバーシップのメンテナンス手順を参照してくださいhttp://www.openldap.org/doc/admin24/index.html["OpenLDAP のドキュメント:バージョン 2.4 管理者ガイド"^]。

インデックス作成

次の OpenLDAP 属性とインデックスキーワードを設定する必要があります。

  • olcDbIndex: objectClass eq

  • olcDbIndex: uid eq,pres,sub

  • olcDbIndex: cn eq,pres,sub

  • olcDbIndex: entryUUID eq

また、パフォーマンスを最適化するには、 Username のヘルプで説明されているフィールドにインデックスを設定してください。

のリバースグループメンバーシップのメンテナンスに関する情報を参照してくださいhttp://www.openldap.org/doc/admin24/index.html["OpenLDAP のドキュメント:バージョン 2.4 管理者ガイド"^]。