シングル サインオンが有効な場合のAPIへのサインイン

シングル サインオン(SSO)が有効になっている場合は、一連のAPI要求を実行して、グリッド管理APIまたはテナント管理APIで有効なAD FSから認証トークンを取得する必要があります。

開始する前に

  • StorageGRIDユーザ グループに属するフェデレーテッド ユーザのSSOユーザ名とパスワードが必要です。
  • テナント管理APIにアクセスする場合は、テナント アカウントIDが必要です。

タスク概要

認証トークンを取得するには、次のいずれかを使用します。
  • Pythonスクリプトstoragegrid-ssoauth.pyStorageGRIDインストール ファイルのディレクトリ(Red Hat Enterprise LinuxまたはCentOSの場合は./rpms、UbuntuまたはDebianの場合は./debs、VMwareの場合は./vsphere)にあります。
  • curl要求のサンプル ワークフロー。
    curlワークフローは、実行に時間がかかりすぎるとタイムアウトする場合があります。「A valid SubjectConfirmation was not found on this Response」というエラーが表示される可能性があります。
    注: サンプルのcurlワークフローでは、パスワードが他のユーザから見えないように保護されていません。

URLエンコードに問題がある場合は、「Unsupported SAML version」というエラーが表示される可能性があります。

手順

  1. 次のいずれかの方法で認証トークンを取得します。
    • Pythonスクリプトstoragegrid-ssoauth.pyを使用します。手順2に進みます。
    • curl要求を使用します。手順3に進みます。
  2. storagegrid-ssoauth.pyスクリプトを使用する場合は、Pythonインタープリタにスクリプトを渡してスクリプトを実行します。
    プロンプトが表示されたら、次の引数の値を入力します。
    • SSOユーザ名
    • StorageGRIDがインストールされているドメイン
    • StorageGRIDのアドレス
    • テナント アカウントID(テナント管理APIにアクセスする場合)

    SSO認証スクリプト
    StorageGRID認証トークンが出力に表示されます。これで、SSOが使用されていない場合にAPIを使用するのと同じように、他の要求にもトークンを使用できます。
  3. curl要求を使用する場合は、次の手順を実行します。
    1. サインインに必要な変数を宣言します。
      export SAMLUSER='my-sso-username'
      export SAMLPASSWORD='my-password'
      export SAMLDOMAIN='my-domain'
      export TENANTACCOUNTID=’12345’
      export STORAGEGRID_ADDRESS='storagegrid.example.com'
      export AD_FS_ADDRESS='adfs.example.com'
      注: グリッド管理APIにアクセスするには、TENANTACCOUNTIDを0に指定します。
    2. 署名済みの認証URLを受け取るために、/api/v3/authorize-samlに対してPOST要求を実行し、応答からJSONエンコードを削除します。
      次の例は、TENANTACCOUNTIDの署名済み認証URLを取得するためのPOST要求です。結果はpython -m json.toolに渡されて、JSONエンコードが削除されます。
      curl -X POST "https://$STORAGEGRID_ADDRESS/api/v3/authorize-saml" \
        -H "accept: application/json" -H  "Content-Type: application/json" \
        --data "{\"accountId\": \"$TENANTACCOUNTID\"}" | python -m json.tool
      この例の応答には、URLエンコードされた署名済みURLが含まれていますが、JSONエンコードされたレイヤは含まれていません。
      {
          "apiVersion": "3.0",
          "data": "https://adfs.example.com/adfs/ls/?SAMLRequest=fZHLbsIwEEV%2FJTuv7...sSl%2BfQ33cvfwA%3D&RelayState=12345",
          "responseTime": "2018-11-06T16:30:23.355Z",
          "status": "success"
      }
    3. 以降のコマンドで使用するために、応答からSAMLRequestを保存します。
      export SAMLREQUEST='fZHLbsIwEEV%2FJTuv7...sSl%2BfQ33cvfwA%3D'
    4. クライアント要求IDを含む完全なURLをAD FSから取得します。
      オプションとしては、前の応答のURLを使用してログイン フォームを要求する方法があります。
      curl "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState=$TENANTACCOUNTID" | grep 'form method="post" id="loginForm"'
      応答にはクライアント要求IDが含まれています。
      <form method="post" id="loginForm" autocomplete="off" novalidate="novalidate" onKeyPress="if (event && event.keyCode == 13) Login.submitLoginRequest();" action="/adfs/ls/?
      SAMLRequest=fZHRToMwFIZfhb...UJikvo77sXPw%3D%3D&RelayState=12345&client-request-id=00000000-0000-0000-ee02-0080000000de" >
      
      
    5. 応答からクライアント要求IDを保存します。
      export SAMLREQUESTID='00000000-0000-0000-ee02-0080000000de'
    6. 前の応答のフォーム アクションにクレデンシャルを送信します。
      curl -X POST "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState=$TENANTACCOUNTID&client-request-id=$SAMLREQUESTID" \
        --data "UserName=$SAMLUSER@$SAMLDOMAIN&Password=$SAMLPASSWORD&AuthMethod=FormsAuthentication" --include
      

      AD FSからヘッダーに追加情報を含んだ302リダイレクトが返されます。

      注: SSOシステムで多要素認証(MFA)が有効になっている場合、フォーム ポストには2つ目のパスワードまたはその他のクレデンシャルも含まれます。
      HTTP/1.1 302 Found
      Content-Length: 0
      Content-Type: text/html; charset=utf-8
      Location: https://adfs.example.com/adfs/ls/?SAMLRequest=fZHRToMwFIZfhb...UJikvo77sXPw%3D%3D&RelayState=12345&client-request-id=00000000-0000-0000-ee02-0080000000de
      Set-Cookie: MSISAuth=AAEAADAvsHpXk6ApV...pmP0aEiNtJvWY=; path=/adfs; HttpOnly; Secure
      Date: Tue, 06 Nov 2018 16:55:05 GMT
      
    7. 応答からMSISAuthクッキーを保存します。
      export MSISAuth='AAEAADAvsHpXk6ApV...pmP0aEiNtJvWY='
    8. 認証POSTから保存したクッキーを使用して、指定した場所にGET要求を送信します。
      curl "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState=$TENANTACCOUNTID&client-request-id=$SAMLREQUESTID" \
        --cookie "MSISAuth=$MSISAuth" --include
      
      応答ヘッダーには、あとでログアウトに使用するAD FSセッション情報が含まれています。本文には、非表示のフォーム フィールドにSAMLResponseが含まれています。
      HTTP/1.1 200 OK
      Cache-Control: no-cache,no-store
      Pragma: no-cache
      Content-Length: 5665
      Content-Type: text/html; charset=utf-8
      Expires: -1
      Server: Microsoft-HTTPAPI/2.0
      P3P: ADFS doesn't have P3P policy, please contact your site's admin for more details
      Set-Cookie: SamlSession=a3dpbnRlcnMtUHJpbWFyeS1BZG1pbi0xNzgmRmFsc2Umcng4NnJDZmFKVXFxVWx3bkl1MnFuUSUzZCUzZCYmJiYmXzE3MjAyZTA5LThmMDgtNDRkZC04Yzg5LTQ3NDUxYzA3ZjkzYw==; path=/adfs; HttpOnly; Secure
      Set-Cookie: MSISAuthenticated=MTEvNy8yMDE4IDQ6MzI6NTkgUE0=; path=/adfs; HttpOnly; Secure
      Set-Cookie: MSISLoopDetectionCookie=MjAxOC0xMS0wNzoxNjozMjo1OVpcMQ==; path=/adfs; HttpOnly; Secure
      Date: Wed, 07 Nov 2018 16:32:59 GMT
      
      <form method="POST" name="hiddenform" action="https://storagegrid.example.com:443/api/saml-response">
        <input type="hidden" name="SAMLResponse" value="PHNhbWxwOlJlc3BvbnN...1scDpSZXNwb25zZT4=" /><input type="hidden" name="RelayState" value="12345" />
    9. 隠しフィールドからSAMLResponseを保存します。
      export SAMLResponse='PHNhbWxwOlJlc3BvbnN...1scDpSZXNwb25zZT4='
    10. 保存したSAMLResponseを使用して、StorageGRID /api/saml-response要求を実行し、StorageGRID認証トークンを生成します。
      RelayStateにはテナント アカウントIDを使用します。または、グリッド管理APIにサインインする場合は0を使用します。
      curl -X POST "https://$STORAGEGRID_ADDRESS:443/api/saml-response" \
        -H "accept: application/json" \
        --data-urlencode "SAMLResponse=$SAMLResponse" \
        --data-urlencode "RelayState=$TENANTACCOUNTID" \
        | python -m json.tool
      
      応答には認証トークンが含まれています。
      {
          "apiVersion": "3.0",
          "data": "56eb07bf-21f6-40b7-af0b-5c6cacfb25e7",
          "responseTime": "2018-11-07T21:32:53.486Z",
          "status": "success"
      }
    11. 応答内の認証トークンをMYTOKENとして保存します。

      export MYTOKEN="56eb07bf-21f6-40b7-af0b-5c6cacfb25e7"
      これで、SSOが使用されていない場合にAPIを使用するのと同じように、他の要求にもMYTOKENを使用できます。