アイデンティティ・フェデレーションの構成

アイデンティティ・プロバイダとしてのActive Directoryの追加

1. サービスWeb UIにサインインします。

2. ナビゲーション・メニューを開き、「アイデンティティ・プロバイダ」をクリックします。

3. 「アイデンティティ・プロバイダ」ページで、「アイデンティティ・プロバイダの作成」をクリックします。

4. 「アイデンティティ・プロバイダの作成」ページで、次の情報を指定します。

   • 表示名

     サービスWeb UIへのサインインに使用するアイデンティティ・プロバイダを選択する際に、フェデレーテッド・ユーザーに表示される名前。この名前はすべてのアイデンティティ・プロバイダで一意である必要があり、変更できません。

   • 説明

     アイデンティティ・プロバイダのわかりやすい説明。

   • 認証コンテキスト

     「クラス参照の追加」をクリックし、リストから認証コンテキストを選択します。

     1つ以上の値が指定されている場合、プライベート・クラウド・アプライアンス(リライイング・パーティ)は、ユーザーの認可時に、指定された認証メカニズムの1つを使用することをアイデンティティ・プロバイダにリクエストします。アイデンティティ・プロバイダから戻されたSAMLレスポンスには、その認証コンテキスト・クラス参照とともに認証ステートメントが含まれている必要があります。SAMLレスポンス認証コンテキストがここで指定された内容と一致しない場合、プライベート・クラウド・アプライアンス認証サービスは400でSAMLレスポンスを否認します。

   • アサーションの暗号化(オプション)

     有効にすると、認可サービスはアイデンティティ・プロバイダからの暗号化されたアサーションを想定します。アサーションを復号化できるのは認可サービスのみです。有効になっていない場合、認可サービスはSAMLトークンを暗号化せずにSSLで保護することを想定しています。

   • 強制認証(オプション)

     有効にすると、認可サービスによってリダイレクトされるときに、ユーザーは常にアイデンティティ・プロバイダで認証を求められます。有効になっていない場合、ユーザーは、アイデンティティ・プロバイダとのアクティブなログイン・セッションをすでに持っているかどうかの再認証を求められません。

   • メタデータURL

     アイデンティティ・プロバイダからFederationMetadata.xmlドキュメントのURLを入力します。

     デフォルトでは、ADFSのメタデータ・ファイルはhttps://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xmlにあります。

5. 「アイデンティティ・プロバイダの作成」をクリックします。

   新しいアイデンティティ・プロバイダにOCIDが割り当てられ、「アイデンティティ・プロバイダ」ページに表示されます。

アイデンティティ・プロバイダが追加されたら、Private Cloud ApplianceとActive Directoryの間のグループ・マッピングを設定する必要があります。アイデンティティ・プロバイダのグループ・マッピングの管理を参照してください。

アイデンティティ・プロバイダの更新

1. ナビゲーション・メニューを開き、「アイデンティティ・プロバイダ」をクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

2. 更新するアイデンティティ・プロバイダに対して、「アクション」アイコン(3つのドット)をクリックし、「編集」をクリックします。

3. 次のいずれかの情報を変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください。

   • 説明

   • 認証コンテキスト

     クラス参照を追加または削除します。

   • アサーションの暗号化

     アイデンティティ・プロバイダからの暗号化されたアサーションを有効または無効にします。

   • 強制認証

     アイデンティティ・プロバイダからのリダイレクト認証を有効または無効にします。

   • メタデータURL

     アイデンティティ・プロバイダから新しいFederationMetadata.xmlドキュメントのURLを入力します。

4. 「アイデンティティ・プロバイダの更新」をクリックします。

アイデンティティ・プロバイダと構成の詳細の表示

アイデンティティ・プロバイダの詳細ページには、認証コンテキストなどの一般情報が表示されます。また、リダイレクトURLを含むアイデンティティ・プロバイダの設定も提供します。このページでは、アイデンティティ・プロバイダを編集し、グループ・マッピングを管理することもできます。

1. ナビゲーション・メニューを開き、「アイデンティティ・プロバイダ」をクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

2. 詳細を表示するアイデンティティ・プロバイダについて、「アクション」アイコン(3つのドット)をクリックし、「詳細の表示」をクリックします。

   「アイデンティティ・プロバイダの詳細」ページが表示されます。

アイデンティティ・プロバイダの削除

フェデレーテッド・ユーザーがPrivate Cloud Applianceにログインするためのオプションを削除する場合は、アイデンティティ・プロバイダを削除する必要があります。これにより、関連付けられたすべてのグループ・マッピングも削除されます。

1. ナビゲーション・メニューを開いて、「アイデンティティ」をクリックし、「フェデレーション」をクリックします。

   アイデンティティ・プロバイダーのリストが表示されます。

2. 削除するアイデンティティ・プロバイダに対して、「アクション」アイコン(3つのドット)をクリックし、「削除」をクリックします。

3. 「アイデンティティ・プロバイダの削除」プロンプトで、「確認」をクリックします。

グループ・マッピングの作成

マップするアイデンティティ・プロバイダ・グループごとに次のステップを実行します。

1. ナビゲーション・メニューを開き、「IDPグループ・マッピング」をクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 「グループ・マッピングの作成」をクリックします。

   IDPグループ・マッピング・フォームが表示されます

3. 「名前」フィールドに、IDPグループ・マッピングの名前を入力します。

4. 「IDPグループ名」フィールドに、アイデンティティ・プロバイダ・グループの完全な名前を入力します。

5. 「管理グループ名」リストから、アイデンティティ・プロバイダ・グループにマップするプライベート・クラウド・アプライアンス・グループを選択します。

6. 必要に応じて、グループの摘要を入力します。

7. 「IDPグループ・マッピングの作成」をクリックします。

   新しいグループ・マッピングがリストに表示されます。

グループ・マッピングの更新

1. ナビゲーション・メニューを開き、「IDPグループ・マッピング」をクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 更新するグループ・マッピングに対して、「アクション」アイコン(3つのドット)をクリックし、「編集」をクリックします。

   IDPグループ・マッピング・フォームが表示されます。

3. 次のいずれかのフィールドを変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください。

   • 名前

   • IDPグループ名

   • 管理者グループ名

   • 摘要

4. 「IDPグループ・マッピングの変更」をクリックします。

   更新されたグループ・マッピングがリストに表示されます。

グループ・マッピングの削除

1. ナビゲーション・メニューを開き、「IDPグループ・マッピング」をクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 削除するグループ・マッピングに対して、「アクション」アイコン(3つのドット)をクリックし、「削除」をクリックします。

3. 「IDPグループ・マッピングの削除」プロンプトで、「確認」をクリックします。