アイデンティティ フェデレーションの設定

アイデンティティ フェデレーションを使用して、管理者グループおよびユーザをインポートできます。アイデンティティ フェデレーションを使用すると、グループやユーザを迅速設定できます。また、ユーザは使い慣れたクレデンシャルを使用してアカウントにサインインできます。

開始する前に

タスク概要

グリッド管理インターフェイス用に設定するアイデンティティ ソースでは、次の種類のフェデレーテッド グループをインポートできます。
  • 管理(「admin」)グループ。管理者グループ内のユーザは、グループに割り当てられた管理権限に基づいて、グリッド管理インターフェイスにサインインしてタスクを実行できます。「管理者グループの権限について」を参照してください。
  • テナント アカウント グループ。ただし、テナントが独自のアイデンティティ ソースを使用していない(つまり、テナント アカウントの[Uses Own Identity Source]チェック ボックスがオフになっている)ことが前提です。テナント アカウント グループ内のユーザは、グループに割り当てられた権限に基づいて、テナント管理インターフェイスにサインインしてタスクを実行できます。テナント アカウントの作成方法については、『StorageGRID Webscaleテナント管理者ガイド』を参照してください。
注:アイデンティティ フェデレーションを使用している場合、Active Directoryのプライマリ グループのみに所属しているユーザはグリッド管理インターフェイスまたはテナント管理インターフェイスにサインインできないことに注意してください。これらのユーザにサインインを許可するには、ユーザが作成したグループのメンバーシップを付与します。

手順

  1. [Configuration] > [Identity Federation]を選択します。
  2. [Enable Identity Federation]を選択します。
    LDAPサービスの設定情報が表示されます。
  3. [LDAP Service Type]ドロップダウン リストから、設定するLDAPサービスのタイプを選択します。
    [Active Directory][OpenLDAP]、または[Other]を選択できます。
    注:[OpenLDAP]を選択した場合は、OpenLDAPサーバを設定する必要があります。このガイドの「OpenLDAPサーバの設定に関するガイドライン」を参照してください。
  4. [Other]を選択した場合は、[LDAP Attributes]セクションのフィールドに値を入力します。
    • Unique User Name:LDAPユーザの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのuidに該当します。
    • User UUID:LDAPユーザの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。
    • Group Unique Name:LDAPグループの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのcnに該当します。
    • Group UUID:LDAPグループの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。
  5. 必要なLDAPサーバとネットワーク接続の情報を入力します。
    • Hostname:LDAPサーバのホスト名またはIPアドレス。
    • Port:LDAPサーバへの接続に使用するポート。通常は389です。
    • Username:LDAPサーバへのアクセスに使用するユーザ名(ドメインも含めて指定)。
      指定するユーザには、グループおよびユーザを表示する権限、および次の属性にアクセスする権限が必要です。
      • cn
      • sAMAccountNameまたはuid
      • objectGUIDまたはentryUUID
      • memberOf
    • Password:ユーザ名に関連付けられたパスワード。
    • Group Base DN:グループを検索するLDAPサブツリーの完全修飾識別名(DN)。例では、ベースDN(DC=storagegrid,DC=example,DC=com)に対して相対的な識別名のグループを、すべてフェデレーテッド グループとして使用できます。
      注:[Unique Group Name]の値は、所属する[Group Base DN]内で一意である必要があります。
    • User Base DN:ユーザを検索するLDAPサブツリーの完全修飾識別名(DN)。
      注:[Unique User Name]の値は、所属する[User Base DN]内で一意である必要があります。
  6. [Transport Layer Security (TLS)]ドロップダウン リストからセキュリティ設定を選択し、TLSを使用してLDAPサーバとの通信を保護するかどうかを指定します。
    • Use operating system CA certificate:オペレーティング システムにインストールされているデフォルトのCA証明書を使用して接続を保護します。
    • Use custom CA certificate:カスタムのセキュリティ証明書を使用します。

      この設定を選択した場合は、カスタムのセキュリティ証明書をコピーして[CA Certificate]テキスト ボックスに貼り付けます。

    • Do not use TLSStorageGRID WebscaleシステムとLDAPサーバの間のネットワーク トラフィックは保護されません。
    次のスクリーンショットは、Active Directoryを使用するLDAPサーバの設定例を示しています。
    Active Directoryを使用するLDAPサーバを示す[Identity Federation]ページ
  7. 必要に応じて、[Test Connection]をクリックしてLDAPサーバの接続設定を検証します。
  8. [Save]をクリックします。