SSO 強制モードは、Address Manager および Address Manager API の最高セキュリティ向けに最適なモードですが、このモードには認証およびアクセスに必要な制限が設けられています。SSO 強制モードは、Address Manager 環境がそのセキュリティ制限に合わせて適切に更新されている場合にのみ、有効にすることを推奨します。
重要:
SSO 強制モードの有効化
以下の条件が当てはまらない場合、SSO 強制モードを有効にできません。
- 管理者である
- Address Manager で IdP メタデータを構成済みである
- 外部認証を削除済みである
- Address Manager に SSO グループしか存在しない
- Address Manager にローカル非管理者ユーザが存在しない
重要: SSO 強制モード
SSO 強制モードを有効にすると、以下の条件が適用されます。
- ユーザが外部認証 (LDAP、TACACS、Radius) を使用して Address Manager にログインできない
- BAM がフェールオーバー状況でローカル ユーザを 1 人しか許可しない (GUI のみ、SSO 管理者)
- IdP がログイン セッションを開始する (BAM ログイン ページが IdP ログイン ページにリダイレクトする)
- API ログインで有効な OAuth トークンが必要
- SSO ユーザのみが BAM 管理者になることができる
- SSO 強制モードを有効にした SSO 管理者のみがこのモードを有効にできる
- 非管理者 SSO ユーザは、Address Manager で以下のページを表示できません。
- [認証子]
- SSO 管理
- API アクセス管理
- 非管理者 SSO ユーザは、ローカル ユーザを作成、読み取り、更新、削除できない
- 非管理者 SSO ユーザは、SSO グループではないユーザ グループを作成、読み取り、更新、削除できない
重要:
SSO ユーザへの API アクセスを許可した場合、以下の要件を満たしていることを確認してください。
- Address Manager と統合されるアプリケーションが SSO 向けに構成済みである
- BAM API クライアントまたはスクリプトが OAuth 2.0 を使用している
- Address Manager で、[管理] タブを選択します。
- [ユーザ管理] で、[ID およびアクセス管理] を選択します。
- [SSO 強制] タブを選択します。
- [SSO 強制] で、[SSO を強制する] を選択します。
- [更新] をクリックします。