PAM の依存パーティ(RP)としての設定
SAML 依存パーティ(RP)として機能するように PAM を設定できます。RP は、ユーザを認証するためにアサーションを消費します。認証が成功すると、RP は提供する要求されたサービスへのアクセスを許可します。
capam34
SAML 依存パーティ(RP)として機能するように
Privileged Access Manager
を設定できます。RP は、ユーザを認証するためにアサーションを消費します。認証が成功すると、RP は提供する要求されたサービスへのアクセスを許可します。UI では、依存パーティを意味する RP という用語を使用します。この用語は、サービス プロバイダ(SP)と同義です。
以下のセクションでは、
PAM
RP の設定方法を説明します。SAML 設定の前提条件
PAM
が RP として機能するように設定する前に、いくつかの初期タスクを完了する必要があります。- ユーザ アカウントのプロビジョニング
- SAML 全体設定の設定
- 認証リクエストに署名するための証明書の取得
これらの事前に必要な手順は、後続のいくつかのセクションで説明します。
各側のユーザ アカウントのプロビジョニング
SP と IdP には、ユーザ名が一致するユーザ アカウントが必要です。ユーザは、SP 側のリソースにアクセスするための許可が必要です。
SAML 全体設定の設定
RP 構成を設定する前に、デフォルトの SAML 設定を確認します。
以下の手順に従います。
- [設定]、[全体設定]を選択します。
- [SAML]タブを選択します。
- 以下の 2 つの設定を確認します。
- 継承された SAML 認証が必要: ユーザ グループの認証方式が SAML に設定されている場合は、このオプションを選択すると、すべてのユーザ グループ メンバに SAML が適用されます。個々の認証方式は無視されます。この設定はデフォルトで選択されます。
- SAML の再認証期間(分)この設定は、Privileged Access Managerが IdP の場合のみに適用されます。この設定では、PAMIdP とのセッションがタイムアウトするまでの非アクティブ状態の時間を分単位で指定します。次の SSO リクエストをするには、ユーザが再度ログインする必要があります。デフォルト: 60 分
認証リクエストに署名するための証明書の取得
認証リクエストなどの項目を暗号化するには、SP の証明書が必要です。
PAM
の完全修飾ドメイン用の SSL 証明書を取得します。 以下の手順に従います。
- [構成]-[セキュリティ]-[証明書]に移動します。
- [作成]タブで、[CSR](Certificate Signing Request、証明書署名要求)を選択します。詳細については、「自己署名証明書または証明書署名要求を作成する」を参照してください。CSR を使用して、証明書、CA チェーン、および CRL を適切な認証機関から取得します。
- これらのファイルを取得したら、それらをアップロードします。[構成]-[セキュリティ]に移動し、[アップロード]タブを選択します。適切なファイルを選択し、アップロードします。
- [設定]タブに移動し、その証明書を許可します。
PAM
を RP として設定するSAML SSO のパートナーシップは、依存パーティ(RP)とアイデンティティ プロバイダ(IdP)です。RP にはユーザが要求するリソースがあり、IdP には、その要求を行うユーザを認証するための情報があります。IdP は、ユーザに関する情報を含むアサーションを返します。RP は、この情報を使用して、ユーザにアクセスを許可するかどうかを決定します。
PAM
が RP である場合、RP 構成を設定します。また、リモート IdP パートナーも指定します。RP の設定
入力するデータと、それらのデータが SAML メタデータの中でどのように表示されるかの詳細については、「
SAML の仕様」を参照してください。
以下の手順に従います。
- [構成]-[セキュリティ]-[SAML]-[RP 構成]タブに移動します。
- [RP 構成]ページで、[構成]タブを選択します。
- 以下の設定を完了します。
- エンティティ ID(必須): RP を識別する文字列。この ID は、一意である必要があります。例: mypam-r
- フレンドリ名:この RP を識別する名前。
- 完全修飾ホスト名: 以下のいずれかの値を入力します。完全修飾ホスト名を指定していることを確認します。
- 単一のインスタンスの場合は、http://capam.example.com/ など、IdP ホスト名の値を入力します。
- クラスタ メンバの場合は、http://capam.example.com/ などのホスト名を入力するか、またはクラスタの各メンバの RP IP アドレスを入力できます。注: RP クラスタの VIP アドレスを入力しないでください。プライマリ クラスタ メンバの場合は、VIP アドレスまたは VIP ホスト名を入力します。
PAMRP へのアクセス時に完全修飾ホスト名を使用するようにフェデレーション パートナーに通知します。 - 説明: この RP の説明。
- 組織名:この RP に対して責任がある会社またはその他の組織の名前を入力します。ADFS エンティティが IdP として機能している場合は、PAMRP を設定する対象の組織を指定します。そうしないと、RP メタデータ ファイルは ADFS IdP によってインポートできません。
- 組織 URL:この RP に対して責任がある会社またはその他の組織の URL を入力します。
- 管理者連絡先名: この RP の管理者連絡先の名前を入力します。
- 管理者連絡先電子メール: 管理者連絡先の電子メール アドレスを入力します。
- 証明書キーペア(必須): このPAMRP にアップロード([構成]-[セキュリティ]-[証明書]-[アップロード]を使用)した証明書ファイルの中から、目的の SSL 証明書と秘密キー ファイルを連結したファイルを選択します。
- RSA-SHA1 の署名されたレスポンスの承認:表示された RSA SHA1 署名方法を受け入れる場合には、これを選択します。
- SAML IdP メタデータ リフレッシュ モード: IdP メタデータを更新するためのスケジュールを、[時間単位]または[日単位]で指定します(IdP メタデータの読み取り元のドキュメントは、[構成済みリモート SAML IdP]タブの[Metadata Refresh Source URL (メタデータの更新元 URL)]フィールドで指定する必要があります)。
- [設定の保存]を選択します。
リモート アイデンティティ プロバイダの識別
PAM
RP は、リソースをリクエストするユーザを認証するため、1 つまたは複数の IdP に認証リクエストを送信します。各リモート IdP パートナーを識別します。このページのボタンは、RP について[構成]タブで必要なフィールドを指定し、保存した後にアクティブになります。PAM
は RP に依存せず、IdP として機能できます。展開がクラスタ化されており、CA Single Sign-On をリモート アイデンティティ プロバイダとして構成している場合、以下のオプションを CA Single Sign-On 製品の IdP 構成設定で設定する必要があります。
[
SSO and SLO (SSO と SLO)
]ダイアログ ボックス([SSO]セクションにあります)で、[Accept ACS URL in the Authnrequest (認証リクエストで ACS URL を承諾)
]に設定します。詳細については、CA Single Sign-On のドキュメントの 「[SSO and SLO (SSO と SLO)]ダイアログ ボックス(SAML 2.0 IdP)」を参照してください。
以下の手順に従います。
- [RP 構成]ページで、[構成済みリモート SAML IdP]タブを選択します。
- 以下の方法のいずれかで IdP を定義します。
- [アイデンティティ プロバイダ メタデータのアップロード]を選択し、リモート IdP から取得されるインポートされたメタデータ ドキュメントから IdP レコードを作成します。
- [追加]を選択し、表示されるダイアログ ボックスでアイデンティティ プロバイダ(IdP)レコードを手動で作成します。必要なフィールドに入力したら、[設定の保存]を選択します。[アイデンティティ プロバイダの追加]ダイアログ ボックスには以下のフィールドがあります。
- フレンドリ名(必須): この IdP に名前を割り当てます。
- 組織名: この IdP に対して責任がある会社またはその他の組織の名前を入力します。
- エンティティ ID(必須): RP を識別する一意の文字列を入力します。例:IdPserverA
- 説明: リモート IdP のオプションの説明を入力します。
- シングル サインオン プロトコル バインディング(必須): リモート IdP のプロトコル バインディングを選択します: HTTP リダイレクトまたは HTTP-POST。
- シングル サインオン サービス(必須): リモート IdP で SSO サービスの URL を入力します。例: https://rp.example.com/idp/profile/SAML2/POST/SSO
- Just In Time プロビジョニングを許可する: このチェック ボックスをオンにすると、PAMで SP の SAML から新しいユーザ アカウントをプロビジョニングできます。userGroup属性をアサーションに含める場合は、グループが SP に存在するか、ユーザがプロビジョニングされていないことを確認します。「JIT プロビジョニング」セクションを参照してください。
- 証明書(必須): この証明書がリモート IdP からの署名されたアサーションを復号化します。
- 認証リクエストに署名: リモート IdP が署名された認証リクエストを要求する場合は、このチェック ボックスをオンにします。
- 署名アルゴリズム: 用意されたオプションから署名アルゴリズムを選択します。
- 認証コンテキスト: この IdP の適用可能な認証コンテキストを選択します。
- 暗号化されたアサーションが必要: リモート IdP でアサーションを暗号化する必要がある場合は、このチェック ボックスをオンにします。
- キー サポートのホルダの有効化:PAMでスマートカード認証を設定する必要がある場合は、このチェック ボックスをオンにします。
- Metadata Refresh Fingerprint (メタデータ更新のフィンガープリント): メタデータに署名する IdP の署名の検証に使用される証明書のフィンガープリントを指定します。
- Metadata Refresh Source URL (メタデータの更新元 URL): アイデンティティ プロバイダのデータを定期的に更新する元となるドキュメントの URL を指定します([RP 構成]タブの[SAML IdP Metadata Refresh Mode (SAML IdP メタデータのリフレッシュ モード)]オプションが[時間単位]または[日単位]に設定されている場合にのみ使用されます)。
ページ上のこれ以外のボタンは、ほとんどが自明です。以下のオプションに注意してください。
- テスト: [テスト]ボタンをクリックすると、関連 IdP への接続がテストされます。
- メタデータのダウンロード: [ダウンロード]リンクを選択して、この IdP の RP メタデータ ファイルを取得します。このファイルを IdP にインポートして、この RP のトラストを確立します。
例:
PAM
での SAML SSO の設定以下の例は、SAML パートナーとして機能する 2 つの
PAM
サーバの間で SAML シングル サインオンはどのように確立されるかを示します。この手順の前提は、以下のとおりです。
- RP と IdP は、両方ともPAMアプライアンスです。
- 各パートナーが互いを定義するためには、メタデータ ファイルが使用されます。
IdP メタデータの RP へのインポート
IdP メタデータ ファイルは、IdP が提供する SAML サービスを記述した XML ファイルです。このドキュメントには、SP から IdP への認証リクエストの送信方法についての情報が含まれています。このファイルには、IdP によるすべてのアサーションへの署名に使用される証明書(公開鍵)が含まれています。最後に、このファイルには、IdP の完全修飾ドメイン名(または IP アドレス)が含まれています。したがって、FQDN または証明書が変更されるたびに、IdP メタデータを更新し、ファイルを SP にアップロードします。
メタデータ ファイルのダウンロード
- 設定管理者としてPAMIdP にログインします。
- [構成]-[セキュリティ]-[SAML]に移動し、[IdP 構成]タブを選択します。
- アプライアンスのホスト名またはデフォルト証明書の変更後に、IdP 構成を以下のように更新します。
- [エンティティ ID]で、この IdP を識別する一意の名前を割り当てます。この ID は、IdP メタデータ ファイルのほか、IdP が生成するアサーションにも含まれます。
- [完全修飾ホスト名]に、この RP で使用されている値を入力します(例: mypam.example.com)。
- [IdP 証明書]のドロップダウン リストから、証明書と秘密キーの組み合わせを選択します。
- [IdP 構成の更新]を選択して、最新の証明書、ホスト名、および割り当てられた ID を適用します。
- ホスト名を変更したら、そのパネルの[Accept IdP Certificate(IdP 証明書を許可)]をクリックします。
- [IdP メタデータをダウンロードする]をクリックして、メタデータ ファイルをローカルに保存します。
- メタデータを RP にアップロードします。
メタデータの RP へのアップロード
- 設定管理者として RP にログインします。
- [構成]-[セキュリティ]-[SAML]-[RP 構成]タブに移動します。
- 少なくとも、必須フィールドを入力します。
- [設定の保存]を選択します。
- [アイデンティティ プロバイダ メタデータのアップロード]ボタンをクリックし、少なくとも 1 つの対応する IdP を指定します。IdP からのメタデータ ファイルを参照し、[アップロード]を選択します。
- [設定]タブに移動し、そのファイルを許可します。
これで、IdP が、その[
フレンドリ名
](指定されている場合)および[エンティティ ID
]によって識別されるようになりました。SP メタデータの IdP へのインポート
この
PAM
RP では、インポートされた IdP メタデータ ファイルを使用して IdP が認識されるようになっています。IdP による識別のため、SP メタデータ ファイルを使用するようにします。そうすると、RP と IdP が互いに通信できるようになります。SP メタデータのダウンロード
- [構成]-[セキュリティ]-[SAML]に移動し、[RP 構成]タブ -[構成済みリモート SAML IdP]セクションを選択します(それ以外の場所を表示している場合)。
- 探している IdP の項目を特定します。
- この IdP の[メタデータのダウンロード]リンクを選択し、それをクリックして、この SP のメタデータ ファイルをローカルに保存します。
SP メタデータの IdP へのアップロード
- 設定管理者として IdP にログインします。
- [サービス]-[SAML 2 SP メタデータのインポート]を選択すると、インポート ページが表示されます。
- [ファイルの選択]を使用して、SP から取得した XML ファイルを見つけます。
- [SAML 2 SP メタデータのインポート]ボタンを選択して、そのファイルを IdP にアップロードします。その後、いくつかの確認メッセージが表示されます。エラーがある場合のメッセージは赤色で表示されます。
- [サービス]-[TCP/UDP サービス管理]の下に、IdP の[SAML エンティティ ID]に一致する[サービス名]でサービス レコードが作成されていることを確認します。[更新]ボタンを選択して詳細を表示します。そのレコードには以下の情報が含まれています。
- [Web ポータル]の一般的な仕様には、[自動ログイン方法] = [SAML2.0 SSO POST]
- [アサーション コンシューマ サービス URL]である[起動 URL]
- [SAML SSO 情報]タブには[SAML エンティティ ID]
- [SAML SSO 属性]タブには、[SAML SSO サブジェクトの名前識別子の形式]および[SAML SSO 属性]
- [デバイス]-[デバイス管理]で、デバイス レコードが、IdP の SAML 適用 FQDN に一致している[名前]と[アドレス]で作成されていることを確認します。
SSO アクセス ポリシーのプロビジョニング
SP と IdP は相互に信頼するように設定されています。これで、IdP のユーザが SP のサービスにアクセスできるように、IdP をプロビジョニングできます。
SP (特定のユーザまたはユーザ グループ用)のポリシーを開く際に、対応する RP サービスを選択します。このサービスは、エンティティ ID によって識別されます。この操作では[SAML]タブが開いて、その属性を指定できます。
SAML 属性が適切に識別されるように、属性の変更が必要となることがあります。SAML 名前 ID 形式は、最初は指定されていません。この値がない場合には、使用可能な選択肢のいずれかを選び、
xAttribute
が使用できるようにします。SAML SSO におけるユーザ エクスペリエンス
SAML SSO を設定した後は、
PAM
UI のログイン画面でシングル サインオン
オプションが使用可能になります。以下のプロセスは、RP で開始された接続を想定しています。
- ユーザは、ログイン画面で[シングル サイン オン]を選択して、RP にあるリソースを要求します。
- ログインが別のターゲットである IdP での認証に進んだことがユーザに知らされます。複数の IdP ターゲットがある場合は、ユーザがドロップダウン リストから選択してEnterキーを押す必要があります。
- 次に、IdP のログイン ページが表示されます。シングル サインオンオプションは、その IdP では使用できません。
- ユーザは、必要なクレデンシャルを入力します。
- IdP でユーザが認証されると、IdP のタスクは完了します。コントロールは SP に戻され、そこで、ユーザはアプリケーションへのアクセスを付与されます。
JIT プロビジョニング
PAM
の Just-in-Time (JIT) SAML プロビジョニングにより、SAML アサーションから新しいユーザ アカウントをプロビジョニングできます。JIT プロビジョニングを効率的に動作させるには、以下のガイドラインに従います。
- SAML アサーションで使用されるユーザ グループと一致するPAMユーザ グループを作成します。
- これらのユーザ グループのアサーションでuserGroup属性を使用します。
- ユーザは、プロビジョニングされていないユーザの既存のユーザ グループに属している必要があり、認証は失敗します。ユーザはログイン ページにリダイレクトされます。
- ユーザは複数のユーザ グループに属することができます。
- ユーザが一連の異なるユーザ グループを使用して後からログインする場合、ユーザはそれらのユーザ グループに移動します。
- ユーザの権限は、ユーザ グループによって定義されます。
- 管理者は、アプライアンス内のユーザ グループ メンバシップを管理できません。アサーションのみを使用してメンバシップを管理できます。
- このユーザ グループの動作は、JIT プロビジョニングを使用してプロビジョニングされたユーザに対してのみ機能します。
JIT プロビジョニング ユーザ グループの例
以下の例では、SAML
userGroup
属性がユーザ グループと連携する方法について説明します。これらの例では、次のユーザ グループが PAM
で設定されます: グループ A、グループ B、グループ C、グループ D。- SAML アサーションにはグループ A とグループ C が含まれます。ユーザはそれらのユーザ グループにプロビジョニングされます。
- アサーションにグループ E しか含まれない場合は、JIT のプロビジョニングと認証に失敗します。ユーザはログイン ページにリダイレクトされます。
- ユーザはグループ A とグループ C に属し、アサーションにグループ B とグループ D が含まれます。ユーザ アカウントはグループ A とグループ C からグループ B とグループ D に移動します。
JIT プロビジョニングの設定
「
PAM
を RP として設定する」で説明されているのと同じ手順に従います。[RP 構成]ページの[構成済みリモート SAML IdP
]ステップに移動し、手順のとおりに IdP 情報をアップロード
または追加
します。- [追加]を選択してアイデンティティ プロバイダ(IdP)レコードを手動で作成した場合は、[Just In Time プロビジョニングを許可する]チェック ボックスをオンにします。
- [アイデンティティ プロバイダ メタデータのアップロード]を選択して、インポートされた IdP メタデータ ドキュメントから IdP レコードを作成した場合は、後で[更新]を選択します。[ジャスト イン タイム プロビジョニングを許可する]チェック ボックスをオンにします。
[設定の保存]
を選択します。