シングルサインオン - BlueCat Integrity

シングルサインオン - BlueCat Integrity - 9.5.0

管理ガイド

Locale

日本語

Product name

BlueCat Integrity

Version

9.5.0

Address Manager は、SAML 2.0 に準拠したシングルサインオン(SSO) をサポートし、SSO 用サービスプロバイダ (SP) として機能します。SSO 統合では、ユーザは Address Manager で以下のログインオプションを利用できます。

Address Manager に直接ログイン(SP によって開始される SSO)
IdP を介してログイン(IdP によって開始される SSO)

注: サポート対象 IdP

Address Manager の SSO 機能は、以下の IdP でテスト済みです。

ADFS (Active Directory フェデレーションサービス)
OneLogin

お客様の組織で Address Manager によってサポートされる IdP とは異なる IdP を使用している場合、SAML 2.0 仕様に準拠している限り、その IdP を引き続き使用できます。詳細は、サービスプロバイダの構成方法に関する IdP のマニュアルを参照してください。

注: 現在、Address Manager がサポートしているのは 1 つの IdP のみです。複数の IdP はサポートされていません。

Okta ID プロバイダの SSO は、SAML 2.0 でしかサポートされません。Okta OAuth 2.0 (OpenID Connect 対応) はこの時点でサポートされません。

SP によって開始される SSO

SP によって開始される SSO では、所属する会社の SSO 資格情報を使用して Address Manager に直接ログインします。Address Manager を介してログインすると、Address Manager が IdP へ承認要求を送信します。IdP はユーザの資格情報を検証し、検証が合格なら IdP が SAML トークンを生成します。IdP は、SAML トークンを Address Manager にリダイレクトし、アクセスを許可します。

下の図は、SP によって開始される SSO 承認プロセスを示しています。

IdP によって開始される SSO

IdP によって開始される SSO では、所属する会社の SSO 資格情報を使用して IdP ログインページを介してログインします。IdP ログインページからログインすると、IdP はユーザの資格情報を検証し、検証が合格なら IdP が SAML トークンを生成します。IdP がユーザを Address Manager に罹災レクとします。

下の図は、IdP によって開始される SSO 承認プロセスを示しています。

SSO モード

Address Manager では、2つの SSO モードがあります。

SSO 有効	SSO 強制
ユーザは、外部認証 (LDAP、TACACS+、RADIUS、Microsoft Active Directory、Kerberos など) を使用して Address Manager にログインできます。 Address Manager がローカルユーザ (GUI および API) を許可します。 Address Manager ログインページには、2 つのログインオプションがあります。 SSO ログインローカルログイン	ユーザは、外部認証 (LDAP、TACACS+、RADIUS、Microsoft Active Directory、Kerberos など) を使用して Address Manager にログインできません。 Address Manager は以下においてローカルユーザを 1 人しか許可しません (GUI のみ、SSO 管理者)。 SSO 構成 IdP 構成 DDI 構成フェールオーバー状況 IdP がログインセッションを開始します (Address Manager ログインページが IdP ログインページにリダイレクトします)。 API ログインで有効な OAuth トークンが必要

SSO 有効

SSO 強制

ユーザは、外部認証 (LDAP、TACACS+、RADIUS、Microsoft Active Directory、Kerberos など) を使用して Address Manager にログインできます。
Address Manager がローカルユーザ (GUI および API) を許可します。
Address Manager ログインページには、2 つのログインオプションがあります。
- SSO ログイン
- ローカルログイン

ユーザは、外部認証 (LDAP、TACACS+、RADIUS、Microsoft Active Directory、Kerberos など) を使用して Address Manager にログインできません。
Address Manager は以下においてローカルユーザを 1 人しか許可しません (GUI のみ、SSO 管理者)。
- SSO 構成
- IdP 構成
- DDI 構成
- フェールオーバー状況
IdP がログインセッションを開始します (Address Manager ログインページが IdP ログインページにリダイレクトします)。
API ログインで有効な OAuth トークンが必要

SSO を構成する際は、2 つのモードのいずれかを選択できます。[SSO 有効] モードは、Address Manager をサービスプロバイダとして構成し、IdP メタデータを構成すると起動します。Address Manager をサービスプロバイダとして構成することと、IdP メタデータの構成に関する詳細は、「Address Manager をサービスプロバイダとして構成」および「IdP メタデータの構成と SSO 接続の有効化」を参照してください。[SSO 強制] モードは、Address Manager の [SSO 強制] タブで有効にできます。詳しくは、「SSO 強制モードの有効化」を参照してください。

重要: Address Manager と IdP 間の同期

SSO 認証中、IdP はアクセストークンを生成します。Address Manager と IdP との間でクロックの時間差がある場合、トークンの有効期限が一致しないことがあり、認証エラーが発生します。NTP を使用して Address Manager と IdP を同期することを推奨します。