フェデレーテッド アイデンティティ ソースの設定

テナント グループとユーザをActive Directory、OpenLDAP、Oracle Directory Serverなどの別のシステムで管理する場合は、アイデンティティ フェデレーションを設定できます。

開始する前に

タスク概要

テナントにアイデンティティ フェデレーション サービスを設定できるかどうかは、テナント アカウントの設定方法によって異なります。テナントがGrid Manager用に設定されたアイデンティティ フェデレーション サービスを共有することがあります。[Identity Federation]ページにアクセスしたときに次のメッセージが表示された場合、このテナントに別のフェデレーテッド アイデンティティ ソースを設定することはできません。


テナントがアイデンティティ フェデレーションを共有

注:アイデンティティ フェデレーションの設定は、Active Directory、OpenLDAP、およびOracle Directory Serverで検証済みです。別のLDAPサービスを使用する場合は、サポートにお問い合わせください。
注:StorageGRIDでは、STARTTLSを使用してLDAP通信を保護します。LDAP over SSL(LDAPS)プロトコルはサポートされません。LDAPサーバとの通信に使用されるデフォルトのポートは389ですが、ファイアウォールが正しく設定されていれば任意のポートを使用できます。

手順

  1. [Access Control] > [Identity Federation]を選択します。
  2. [Enable Identity Federation]を選択します。
    LDAPサーバを設定するためのフィールドが表示されます。
  3. [LDAP Service Type]ドロップダウン リストから、設定するLDAPサービスのタイプを選択します。
    [Active Directory][OpenLDAP]、または[Other]を選択できます。
    注:[OpenLDAP]を選択した場合は、OpenLDAPサーバを設定する必要があります。「OpenLDAPサーバの設定に関するガイドライン」を参照してください。
  4. [Other]を選択した場合は、[LDAP Attributes]セクションのフィールドに値を入力します。
    • User Unique Name:LDAPユーザの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのuidに該当します。Oracle Directory Serverを設定する場合は、「uid」と入力します。
    • User UUID:LDAPユーザの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。Oracle Directory Serverを設定する場合は、「nsuniqueid」と入力します。指定した属性の各ユーザの値は、16バイトまたは文字列形式の32桁の16進数である必要があります。ハイフンは無視されます。
    • Group Unique Name:LDAPグループの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのcnに該当します。Oracle Directory Serverを設定する場合は、「cn」と入力します。
    • Group UUID:LDAPグループの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。Oracle Directory Serverを設定する場合は、「nsuniqueid」と入力します。指定した属性の各グループの値は、16バイトまたは文字列形式の32桁の16進数である必要があります。ハイフンは無視されます。
  5. [LDAP Server]セクションに必要なLDAPサーバとネットワーク接続の情報を入力します。
    • Hostname:LDAPサーバのホスト名またはIPアドレス。
    • Port:LDAPサーバへの接続に使用するポート。「389」と入力します。
    • Username:LDAPサーバに接続するユーザの識別名(DN)の完全パス。
      注:Active Directoryの場合は、ダウンレベル ログオン名またはユーザ プリンシパル名を指定することもできます。
      指定するユーザには、グループおよびユーザを表示する権限、および次の属性にアクセスする権限が必要です。
      • sAMAccountNameまたはuid
      • objectGUIDentryUUID、またはnsunique
      • cn
      • memberOfまたはisMemberOf
    • Password:ユーザ名に関連付けられたパスワード。
    • Group Base DN:グループを検索するLDAPサブツリーの識別名(DN)の完全パス。Active Directoryでは、ベースDNに対して相対的な識別名(DC=storagegrid,DC=example,DC=comなど)のグループをすべてフェデレーテッド グループとして使用できます。
      注:[Group Unique Name]の値は、所属する[Group Base DN]内で一意である必要があります。
    • User Base DN:ユーザを検索するLDAPサブツリーの識別名(DN)の完全パス。
      注:[User Unique Name]の値は、所属する[User Base DN]内で一意である必要があります。
  6. [Transport Layer Security (TLS)]ドロップダウン リストからセキュリティ設定を選択し、TLSを使用してLDAPサーバとの通信を保護するかどうかを指定します。
    • Use operating system CA certificate:オペレーティング システムにインストールされているデフォルトのCA証明書を使用して接続を保護します。
    • Use custom CA certificate:カスタムのセキュリティ証明書を使用します。

      この設定を選択した場合は、カスタムのセキュリティ証明書をコピーして[CA Certificate]テキスト ボックスに貼り付けます。

    • Do not use TLSStorageGRIDシステムとLDAPサーバの間のネットワーク トラフィックは保護されません。
  7. 必要に応じて、[Test Connection]をクリックしてLDAPサーバの接続設定を検証します。
    接続が有効な場合は、ボタンに緑色のチェック マークが表示されます。

    テスト接続が有効な状態

  8. 接続が有効な場合は、[Save]をクリックします。
    次のスクリーンショットは、Active Directoryを使用するLDAPサーバの設定例を示しています。
    Active Directoryを使用するLDAPサーバを示す[Identity Federation]ページ
    次のスクリーンショットは、Oracle Directory Serverを使用するLDAPサーバの設定例を示しています。
    [Configuration] > [Identity Federation] > [Other]のスクリーンショット