フェデレーテッド アイデンティティ ソースの設定

フェデレーテッド グループとフェデレーテッド ユーザに管理権限を割り当てるには、フェデレーテッド アイデンティティ ソース(Active DirectoryやOpenLDAPなど)を設定する必要があります。

開始する前に

注:アイデンティティ フェデレーションを使用する場合は、Active Directoryのプライマリ グループだけに属しているユーザがテナント管理インターフェイスにサインインできないことに注意してください。これらのユーザにサインインを許可するには、ユーザが作成したグループのメンバーシップを付与します。

手順

  1. [Access Control] > [Identity Federation]を選択します。
  2. [Enable Identity Federation]を選択します。
    LDAPサービスの設定情報が表示されます。
  3. [LDAP Service Type]ドロップダウン リストから、設定するLDAPサービスのタイプを選択します。
    [Active Directory][OpenLDAP]、または[Other]を選択できます。
    注:[OpenLDAP]を選択した場合は、OpenLDAPサーバを設定する必要があります。このガイドの「OpenLDAPサーバの設定に関するガイドライン」を参照してください。
  4. [Other]を選択した場合は、[LDAP Attributes]セクションのフィールドに値を入力します。
    • Unique User Name:LDAPユーザの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのuidに該当します。
    • User UUID:LDAPユーザの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。
    • Group Unique Name:LDAPグループの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのcnに該当します。
    • Group UUID:LDAPグループの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。
  5. 必要なLDAPサーバとネットワーク接続の情報を入力します。
    • Hostname:LDAPサーバのホスト名またはIPアドレス。
    • Port:LDAPサーバへの接続に使用するポート。通常は389です。
    • Username:LDAPサーバへのアクセスに使用するユーザ名(ドメインも含めて指定)。
      指定するユーザには、グループおよびユーザを表示する権限、および次の属性にアクセスする権限が必要です。
      • cn
      • sAMAccountNameまたはuid
      • objectGUIDまたはentryUUID
      • memberOf
    • Password:ユーザ名に関連付けられたパスワード。
    • Group Base DN:グループを検索するLDAPサブツリーの完全修飾識別名(DN)。例では、ベースDN(DC=storagegrid,DC=example,DC=com)に対して相対的な識別名のグループを、すべてフェデレーテッド グループとして使用できます。
      注:[Unique Group Name]の値は、所属する[Group Base DN]内で一意である必要があります。
    • User Base DN:ユーザを検索するLDAPサブツリーの完全修飾識別名(DN)。
      注:[Unique User Name]の値は、所属する[User Base DN]内で一意である必要があります。
  6. [Transport Layer Security (TLS)]ドロップダウン リストからセキュリティ設定を選択し、TLSを使用してLDAPサーバとの通信を保護するかどうかを指定します。
    • Use operating system CA certificate:オペレーティング システムにインストールされているデフォルトのCA証明書を使用して接続を保護します。
    • Use custom CA certificate:カスタムのセキュリティ証明書を使用します。

      この設定を選択した場合は、カスタムのセキュリティ証明書をコピーして[CA Certificate]テキスト ボックスに貼り付けます。

    • Do not use TLSStorageGRID WebscaleシステムとLDAPサーバの間のネットワーク トラフィックは保護されません。
    次のスクリーンショットは、Active Directoryを使用するLDAPサーバの設定例を示しています。
    Active Directoryを使用するLDAPサーバを示す[Identity Federation]ページ
  7. 必要に応じて、[Test Connection]をクリックしてLDAPサーバの接続設定を検証します。
  8. [Save]をクリックします。