フェデレーテッド グループとフェデレーテッド ユーザに管理権限を割り当てるには、フェデレーテッド アイデンティティ ソース(Active DirectoryやOpenLDAPなど)を設定する必要があります。
開始する前に
- サポートされているブラウザを使用してサインインする必要があります。
- 特定のアクセス権限が必要です。
- テナント アカウント作成時に[Uses Own Identity Source]チェック ボックスをオンにしておく必要があります。情報が必要な場合や、この設定を変更する場合は、グリッド管理者に連絡してください。
注:アイデンティティ フェデレーションを使用する場合は、Active Directoryのプライマリ グループだけに属しているユーザがテナント管理インターフェイスにサインインできないことに注意してください。これらのユーザにサインインを許可するには、ユーザが作成したグループのメンバーシップを付与します。
手順
- を選択します。
- [Enable Identity Federation]を選択します。
LDAPサービスの設定情報が表示されます。
- [LDAP Service Type]ドロップダウン リストから、設定するLDAPサービスのタイプを選択します。
[Active Directory]、
[OpenLDAP]、または
[Other]を選択できます。
注:[OpenLDAP]を選択した場合は、OpenLDAPサーバを設定する必要があります。このガイドの「OpenLDAPサーバの設定に関するガイドライン」を参照してください。
- [Other]を選択した場合は、[LDAP Attributes]セクションのフィールドに値を入力します。
- Unique User Name:LDAPユーザの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのuidに該当します。
- User UUID:LDAPユーザの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。
- Group Unique Name:LDAPグループの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのcnに該当します。
- Group UUID:LDAPグループの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。
- 必要なLDAPサーバとネットワーク接続の情報を入力します。
- Hostname:LDAPサーバのホスト名またはIPアドレス。
- Port:LDAPサーバへの接続に使用するポート。通常は389です。
- Username:LDAPサーバへのアクセスに使用するユーザ名(ドメインも含めて指定)。
指定するユーザには、グループおよびユーザを表示する権限、および次の属性にアクセスする権限が必要です。
- cn
- sAMAccountNameまたはuid
- objectGUIDまたはentryUUID
- memberOf
- Password:ユーザ名に関連付けられたパスワード。
- Group Base DN:グループを検索するLDAPサブツリーの完全修飾識別名(DN)。例では、ベースDN(DC=storagegrid,DC=example,DC=com)に対して相対的な識別名のグループを、すべてフェデレーテッド グループとして使用できます。
注:[Unique Group Name]の値は、所属する[Group Base DN]内で一意である必要があります。
- User Base DN:ユーザを検索するLDAPサブツリーの完全修飾識別名(DN)。
注:[Unique User Name]の値は、所属する[User Base DN]内で一意である必要があります。
- [Transport Layer Security (TLS)]ドロップダウン リストからセキュリティ設定を選択し、TLSを使用してLDAPサーバとの通信を保護するかどうかを指定します。
例
次のスクリーンショットは、Active Directoryを使用するLDAPサーバの設定例を示しています。
![Active Directoryを使用するLDAPサーバを示す[Identity Federation]ページ](GUID-8AB582D3-89AE-46FF-BDDF-864884FB2298-low.gif)
- 必要に応じて、[Test Connection]をクリックしてLDAPサーバの接続設定を検証します。
- [Save]をクリックします。