アイデンティティ フェデレーションの設定

管理者グループとユーザをActive Directory、OpenLDAP、Oracle Directory Serverなどの別のシステムで管理する場合は、アイデンティティ フェデレーションを設定できます。

開始する前に

タスク概要

次の種類のフェデレーテッド グループをインポートする場合は、Grid Manager用のアイデンティティ ソースを設定する必要があります。
  • 管理者グループ。管理者グループ内のユーザは、グループに割り当てられた管理権限に基づいて、Grid Managerにサインインしてタスクを実行できます。
  • 独自のアイデンティティ ソースを使用しないテナントのテナント ユーザ グループ。テナント グループ内のユーザは、Tenant Managerでグループに割り当てられた権限に基づいて、Tenant Managerにサインインしてタスクを実行できます。

手順

  1. [Configuration] > [Identity Federation]を選択します。
  2. [Enable Identity Federation]を選択します。
    LDAPサーバを設定するためのフィールドが表示されます。
  3. [LDAP Service Type]ドロップダウン リストから、設定するLDAPサービスのタイプを選択します。
    [Active Directory]、[OpenLDAP]、または[Other]を選択できます。
    注: [OpenLDAP]を選択した場合は、OpenLDAPサーバを設定する必要があります。OpenLDAPサーバの設定に関するガイドラインを参照してください。
  4. [Other]を選択した場合は、[LDAP Attributes]セクションのフィールドに値を入力します。
    • User Unique Name:LDAPユーザの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのuidに該当します。Oracle Directory Serverを設定する場合は、「uid」と入力します。
    • User UUID:LDAPユーザの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。Oracle Directory Serverを設定する場合は、「nsuniqueid」と入力します。指定した属性の各ユーザの値は、16バイトまたは文字列形式の32桁の16進数である必要があります。ハイフンは無視されます。
    • Group Unique Name:LDAPグループの一意なIDが含まれている属性の名前。この属性は、Active DirectoryのsAMAccountNameおよびOpenLDAPのcnに該当します。Oracle Directory Serverを設定する場合は、「cn」と入力します。
    • Group UUID:LDAPグループの永続的な一意なIDが含まれている属性の名前。この属性は、Active DirectoryのobjectGUIDおよびOpenLDAPのentryUUIDに該当します。Oracle Directory Serverを設定する場合は、「nsuniqueid」と入力します。指定した属性の各グループの値は、16バイトまたは文字列形式の32桁の16進数である必要があります。ハイフンは無視されます。
  5. [LDAP Server]セクションに必要なLDAPサーバとネットワーク接続の情報を入力します。
    • Hostname:LDAPサーバのホスト名またはIPアドレス。
    • Port:LDAPサーバへの接続に使用するポート。
      注: STARTTLSのデフォルト ポートは389、LDAPSのデフォルト ポートは636です。ただし、ファイアウォールが正しく設定されていれば、任意のポートを使用できます。
    • Username:LDAPサーバに接続するユーザの識別名(DN)の完全パス。
      注: Active Directoryの場合は、ダウンレベル ログオン名またはユーザ プリンシパル名を指定することもできます。
      指定するユーザには、グループおよびユーザを表示する権限、および次の属性にアクセスする権限が必要です。
      • sAMAccountNameまたはuid
      • objectGUIDentryUUID、またはnsuniqueid
      • cn
      • memberOfまたはisMemberOf
    • Password:ユーザ名に関連付けられたパスワード。
    • Group Base DN:グループを検索するLDAPサブツリーの識別名(DN)の完全パス。Active Directoryでは、ベースDNに対して相対的な識別名(DC=storagegrid,DC=example,DC=comなど)のグループをすべてフェデレーテッド グループとして使用できます。
      注: [Group Unique Name]の値は、所属する[Group Base DN]内で一意である必要があります。
    • User Base DN:ユーザを検索するLDAPサブツリーの識別名(DN)の完全パス。
      注: [User Unique Name]の値は、所属する[User Base DN]内で一意である必要があります。
  6. [Transport Layer Security (TLS)]ドロップダウン リストからセキュリティ設定を選択します。
    • Use STARTTLS (recommended):STARTTLSを使用してLDAPサーバとの通信を保護します。これが推奨されるオプションです。
    • Use LDAPS:LDAPS(LDAP over SSL)オプションでは、TLSを使用してLDAPサーバへの接続を確立します。このオプションは互換性を確保するためにサポートされています。
    • Do not use TLSStorageGRIDシステムとLDAPサーバの間のネットワーク トラフィックは保護されません。
      注: Active DirectoryサーバでLDAP署名を要求している場合は、[Do not use TLS]オプションは使用できません。STARTTLSまたはLDAPSを使用する必要があります。
  7. STARTTLSまたはLDAPSを選択した場合は、接続の保護に使用する証明書を選択します。
    • Use operating system CA certificate:オペレーティング システムにインストールされているデフォルトのCA証明書を使用して接続を保護します。
    • Use custom CA certificate:カスタムのセキュリティ証明書を使用します。

      この設定を選択した場合は、カスタムのセキュリティ証明書をコピーして[CA Certificate]テキスト ボックスに貼り付けます。

  8. 必要に応じて、[Test Connection]をクリックしてLDAPサーバの接続設定を検証します。
    接続が有効な場合は、ボタンに緑色のチェック マークが表示されます。

    テスト接続が有効な状態

  9. 接続が有効な場合は、[Save]をクリックします。
    次のスクリーンショットは、Active Directoryを使用するLDAPサーバの設定例を示しています。
    Active Directoryを使用するLDAPサーバを示す[Identity Federation]ページ
    次のスクリーンショットは、Oracle Directory Serverを使用するLDAPサーバの設定例を示しています。
    [Configuration] > [Identity Federation] > [Other]のスクリーンショット