サンドボックス モードの使用

サンドボックス モードを使用すると、StorageGRIDユーザにシングル サインオン(SSO)を適用する前に、Active Directoryフェデレーション サービス(AD FS)の証明書利用者信頼を設定およびテストできます。SSOを有効にしたあとにサンドボックス モードを再度有効にすると、新規および既存の証明書利用者信頼を設定またはテストできます。サンドボックス モードを再度有効にすると、StorageGRIDユーザのSSOは一時的に無効になります。

開始する前に

タスク概要

SSOが有効な場合、ユーザが管理ノードにサインインしようとするとStorageGRIDからAD FSに認証要求が送信されます。これに対し、AD FSはStorageGRIDに認証応答を返し、認証要求が成功したかどうかを伝えます。要求が成功した場合、応答にはユーザのUniversally Unique Identifier(UUID)が含まれます。

StorageGRID(サービス プロバイダ)とAD FS(アイデンティティ プロバイダ)がユーザの認証要求を安全にやり取りできるようにするために、StorageGRIDで特定の設定を行う必要があります。次に、AD FSを使用して、管理ノードごとに証明書利用者信頼を作成します。最後に、StorageGRIDに戻ってSSOを有効にします。

サンドボックス モードでは、SSOを有効にする前にこれらの手順を簡単に実行し、すべての設定をテストできます。

注: サンドボックス モードは使用することを推奨しますが、必須ではありません。StorageGRIDでSSOを設定した直後にAD FSの証明書利用者信頼を作成する準備が整い、管理ノードごとにSSOおよびシングル ログアウト(SLO)プロセスをテストする必要がない場合は、[Enabled]をクリックしてStorageGRIDの設定を入力し、AD FSで管理ノードごとに証明書利用者信頼を作成してから、[Save]をクリックしてSSOを有効にします。

手順

  1. [Configuration] > [Single Sign-on]を選択します。
    [Single Sign-on]ページが表示され、[Disabled]オプションが選択された状態になっています。
    [Single Sign-on]ページ - [SSO Status]が[Disabled]の状態
    注: [SSO Status]オプションが表示されない場合は、Active Directoryがフェデレーテッド アイデンティティ ソースとして設定されていることを確認します。シングル サインオン使用時の要件を参照してください。
  2. [Sandbox Mode]オプションを選択します。
    アイデンティティ プロバイダと証明書利用者の設定が表示されます。[Identity Provider]セクションの[Service Type]フィールドは読み取り専用になっています。ここには、使用しているアイデンティティ フェデレーション サービスの種類(Active Directoryなど)が表示されます。
  3. [Identity Provider]セクションで、次の手順を実行します。
    1. フェデレーション サービス名をAD FSに表示されているとおりに入力します。
      注: フェデレーション サービス名を確認するには、Windowsのサーバ マネージャに移動します。[ツール] > [AD FS の管理]を選択します。[操作]メニューの[フェデレーション サービスのプロパティの編集]を選択します。フェデレーション サービス名は2番目のフィールドに表示されます。
    2. StorageGRIDの要求への応答としてアイデンティティ プロバイダがSSO設定情報を送信するときに、Transport Layer Security(TLS)を使用して接続を保護するかどうかを指定します。
      • Use operating system CA certificate:オペレーティング システムにインストールされているデフォルトのCA証明書を使用して接続を保護します。
      • Use custom CA certificate:カスタムCA証明書を使用して接続を保護します。

        この設定を選択した場合は、証明書をコピーして[CA Certificate]テキスト ボックスに貼り付けます。

      • Do not use TLS:TLS証明書を使用して接続を保護しません。
  4. [Relying Party]セクションで、証明書利用者信頼を設定する際にStorageGRID管理ノードに対して使用する証明書利用者IDを指定します。
    • たとえば、グリッドに管理ノードが1つしかなく、今後管理ノードを追加する予定がない場合は、「SG」または「StorageGRID」と入力します。
    • グリッドに複数の管理ノードが含まれている場合は、IDに[HOSTNAME]という文字列を追加します。たとえば、「SG-[HOSTNAME]」と入力します。これにより、管理ノードのホスト名に基づいて、各管理ノードの証明書利用者IDを含むテーブルが生成されます。
    注: 証明書利用者信頼はStorageGRIDシステム内の管理ノードごとに作成する必要があります。管理ノードごとに証明書利用者信頼を作成することで、ユーザは管理ノードに対して安全にサインイン / サインアウトすることができます。

    [Single Sign-on]ページ - [Sandbox Mode]が有効で、複数の管理ノードの証明書利用者IDが表示されている状態
  5. [Save]をクリックします。
    • [Save]ボタンに緑色のチェック マークが数秒間表示されます。
      緑色のチェック マークが表示された[Save]ボタン
    • サンドボックス モードが有効になり、[Sandbox mode]の確認通知が表示されます。AD FSの使用時にもこのモードを使用して、管理ノードごとに証明書利用者信頼を設定し、シングル サインオン(SSO)およびシングル ログアウト(SLO)プロセスをテストできます。
      SSOサンドボックス モードが有効な状態