シングル サインオンが有効な場合のAPIへのサインイン

シングル サインオン(SSO)が有効になっている場合は、一連のAPI要求を実行して、グリッド管理APIまたはテナント管理APIで有効なAD FSから認証トークンを取得する必要があります。

開始する前に

  • StorageGRIDユーザ グループに属するフェデレーテッド ユーザのSSOユーザ名とパスワードが必要です。
  • テナント管理APIにアクセスする場合は、テナント アカウントIDが必要です。

タスク概要

以下の手順はサンプル ワークフローにすぎず、パスワードが他のユーザから見えないように保護されていません。

このワークフローは、実行に時間がかかり過ぎるとタイムアウトする場合があります。「A valid SubjectConfirmation was not found on this Response」というエラーが表示される可能性があります。

URLエンコードに問題がある場合は、「Unsupported SAML version」というエラーが表示される可能性があります。

手順

  1. サインインに必要な変数を宣言します。
    export SAMLUSER='my-sso-username'
    export SAMLPASSWORD='my-password'
    export SAMLDOMAIN='my-domain'
    export TENANTACCOUNTID=’12345’
    export STORAGEGRID_ADDRESS='storagegrid.example.com'
    export AD_FS_ADDRESS='adfs.example.com'
    注:グリッド管理APIにアクセスするには、TENANTACCOUNTIDを0に指定します。
  2. 署名済みの認証URLを受け取るために、/api/v3/authorize-samlに対してPOST要求を実行し、応答からJSONエンコードを削除します。
    次の例は、TENANTACCOUNTIDの署名済み認証URLを取得するためのPOST要求です。結果はpython -m json.toolに渡されて、JSONエンコードが削除されます。
    curl -X POST "https://$STORAGEGRID_ADDRESS/api/v3/authorize-saml" \
      -H "accept: application/json" -H  "Content-Type: application/json" \
      --data "{\"accountId\": \"$TENANTACCOUNTID\"}" | python -m json.tool
    この例の応答には、URLエンコードされた署名済みURLが含まれていますが、JSONエンコードされたレイヤは含まれていません。
    {
        "apiVersion": "3.0",
        "data": "https://adfs.example.com/adfs/ls/?SAMLRequest=fZHLbsIwEEV%2FJTuv7...sSl%2BfQ33cvfwA%3D&RelayState=12345",
        "responseTime": "2018-11-06T16:30:23.355Z",
        "status": "success"
    }
  3. 以降のコマンドで使用するために、応答からSAMLRequestを保存します。
    export SAMLREQUEST='fZHLbsIwEEV%2FJTuv7...sSl%2BfQ33cvfwA%3D'
  4. クライアント要求IDを含む完全なURLをAD FSから取得します。
    オプションとしては、前の応答のURLを使用してログイン フォームを要求する方法があります。
    curl "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState=$TENANTACCOUNTID" | grep 'form method="post" id="loginForm"'
    応答にはクライアント要求IDが含まれています。
    <form method="post" id="loginForm" autocomplete="off" novalidate="novalidate" onKeyPress="if (event && event.keyCode == 13) Login.submitLoginRequest();" action="/adfs/ls/?
    SAMLRequest=fZHRToMwFIZfhb...UJikvo77sXPw%3D%3D&RelayState=12345&client-request-id=00000000-0000-0000-ee02-0080000000de" >
    
    
  5. 応答からクライアント要求IDを保存します。
    export SAMLREQUESTID='00000000-0000-0000-ee02-0080000000de'
  6. 前の応答のフォーム アクションにクレデンシャルを送信します。
    curl -X POST "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState=$TENANTACCOUNTID&client-request-id=$SAMLREQUESTID" \
      --data "UserName=$SAMLUSER@$SAMLDOMAIN&Password=$SAMLPASSWORD&AuthMethod=FormsAuthentication" --include
    

    AD FSからヘッダーに追加情報を含んだ302リダイレクトが返されます。

    注:SSOシステムで多要素認証(MFA)が有効になっている場合、フォーム ポストには2つ目のパスワードまたはその他のクレデンシャルも含まれます。
    HTTP/1.1 302 Found
    Content-Length: 0
    Content-Type: text/html; charset=utf-8
    Location: https://adfs.example.com/adfs/ls/?SAMLRequest=fZHRToMwFIZfhb...UJikvo77sXPw%3D%3D&RelayState=12345&client-request-id=00000000-0000-0000-ee02-0080000000de
    Set-Cookie: MSISAuth=AAEAADAvsHpXk6ApV...pmP0aEiNtJvWY=; path=/adfs; HttpOnly; Secure
    Date: Tue, 06 Nov 2018 16:55:05 GMT
    
  7. 応答からMSISAuthクッキーを保存します。
    export MSISAuth='AAEAADAvsHpXk6ApV...pmP0aEiNtJvWY='
  8. 認証POSTから保存したクッキーを使用して、指定した場所にGET要求を送信します。
    curl "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState=$TENANTACCOUNTID&client-request-id=$SAMLREQUESTID" \
      --cookie "MSISAuth=$MSISAuth" --include
    
    応答ヘッダーには、あとでログアウトに使用するAD FSセッション情報が含まれています。本文には、非表示のフォーム フィールドにSAMLResponseが含まれています。
    HTTP/1.1 200 OK
    Cache-Control: no-cache,no-store
    Pragma: no-cache
    Content-Length: 5665
    Content-Type: text/html; charset=utf-8
    Expires: -1
    Server: Microsoft-HTTPAPI/2.0
    P3P: ADFS doesn't have P3P policy, please contact your site's admin for more details
    Set-Cookie: SamlSession=a3dpbnRlcnMtUHJpbWFyeS1BZG1pbi0xNzgmRmFsc2Umcng4NnJDZmFKVXFxVWx3bkl1MnFuUSUzZCUzZCYmJiYmXzE3MjAyZTA5LThmMDgtNDRkZC04Yzg5LTQ3NDUxYzA3ZjkzYw==; path=/adfs; HttpOnly; Secure
    Set-Cookie: MSISAuthenticated=MTEvNy8yMDE4IDQ6MzI6NTkgUE0=; path=/adfs; HttpOnly; Secure
    Set-Cookie: MSISLoopDetectionCookie=MjAxOC0xMS0wNzoxNjozMjo1OVpcMQ==; path=/adfs; HttpOnly; Secure
    Date: Wed, 07 Nov 2018 16:32:59 GMT
    
    <form method="POST" name="hiddenform" action="https://storagegrid.example.com:443/api/saml-response">
      <input type="hidden" name="SAMLResponse" value="PHNhbWxwOlJlc3BvbnN...1scDpSZXNwb25zZT4=" /><input type="hidden" name="RelayState" value="12345" />
  9. 隠しフィールドからSAMLResponseを保存します。
    export SAMLResponse='PHNhbWxwOlJlc3BvbnN...1scDpSZXNwb25zZT4='
  10. 保存したSAMLResponseを使用して、StorageGRID /api/saml-response要求を実行し、StorageGRID認証トークンを生成します。
    RelayStateにはテナント アカウントIDを使用します。または、グリッド管理APIにサインインする場合は0を使用します。
    curl -X POST "https://$STORAGEGRID_ADDRESS:443/api/saml-response" \
      -H "accept: application/json" \
      --data-urlencode "SAMLResponse=$SAMLResponse" \
      --data-urlencode "RelayState=$TENANTACCOUNTID" \
      | python -m json.tool
    
    応答には認証トークンが含まれています。
    {
        "apiVersion": "3.0",
        "data": "56eb07bf-21f6-40b7-af0b-5c6cacfb25e7",
        "responseTime": "2018-11-07T21:32:53.486Z",
        "status": "success"
    }
  11. 応答内の認証トークンをMYTOKENとして保存します。
    export MYTOKEN=56eb07bf-21f6-40b7-af0b-5c6cacfb25e7"
    これで、SSOが使用されていない場合にAPIを使用するのと同じように、他の要求にもMYTOKENを使用できます。