Web ポータルへの自動ログインの設定方法
Web ポータルへのアクセスを管理するサービスを作成することができます。手動ログインまたは自動ログインを設定することができます。このトピックでは、Web ポータルへの自動ログインを設定する方法について説明します。
capam32
Web ポータルへのアクセスを管理するサービスを作成することができます。手動ログインまたは自動ログインを設定することができます。このトピックでは、Web ポータルへの自動ログインを設定する方法について説明します。
ユーザを自動的にターゲット web ポータルにログインするには以下の方法があります。
- Web ポータルで使用するログイン方法が HTML ベースの場合、このオプションを使用します。このメソッドは、最も一般的です。PAMHTML Web SSO:Web ページがPAMブラウザに読み込まれると、JavaScript インジェクションによって HTML Web ページに認証情報が提供され、ログインが実行されます。この方法では、管理者が、どのログイン ページ ウィジェットを使用するかをPAMに「説明」する必要があります。一部のウィジェットはユーザ名とパスワードをキャプチャし、他のウィジェットはログインのトリガとして機能します。この手法を使用する web ポータルには、Dropbox、Google などがあります。
- Web ポータルで使用するログイン方法が HTTP プロトコルの場合、このオプションを使用します。PAMHTTP Web SSO:この場合、PAMでは、ログイン認証情報をエンコードしてヘッダに挿入します。ヘッダは、各 HTTP または HTTPS リクエストに追加されます。この方法を使用する Web ポータルの例には、Microsoft SharePoint インストールが含まれています。
- 組み込みの自動ログイン方法:組み込みの方法も使用できます。これらのビルトイン メソッドは、以下の特定の web ポータルで自動ログインを許可します。
- VMware vCloud Director
- VMware vShield Manager
- VMware vSphere Web Client v5 VMware vSphere Web Client v5 の自動ログイン方法は、vSphere v5 にのみ適しています。vSphere Web Client 6.0 用の自動ログインを設定するには、「vSphere Web Client 6.0 の自動ログインの設定」を参照してください。
TCP/UDP 自動ログイン サービスの設定
Web ポータルに関連付けられている TCP/UDP 自動ログイン サービスを作成します。
以下の手順に従います。
- [サービス]-[TCP/UDP サービス管理]に移動します。
- [追加]を選択して TCP/UDP サービスを作成します。
- [サービス名]で、関連する Web ポータルの名前など、サービスを識別する一意の名前を指定します。
- [ローカル IP]で、このサービスに未使用のローカル IPv4 アドレスを指定します。サービスが起動されると、ローカル IP アドレスはターゲット デバイスのアドレスに置き換えられます。
- ポート:デバイスへのアクセスを得るために、クライアント アプリケーションが開くポートまたはポートの範囲を定義します。例: 8000
- [アプリケーション プロトコル]で[Web ポータル]を選択します。関連するオプションがページの右側に表示されます。
- [自動ログイン方法]で、前述のように適切なメソッドを選択します。
- : ユーザ名とパスワードを入力するフィールドがある Web サイトに最適です。このメソッドでは、学習ツールを使用して管理者が設定する必要があります。PAMHTML Web SSO
- : Windows 認証など、プログラムでユーザ名とパスワードを取得する Web サイトに最適です。このメソッドでは、学習ツールを使用する必要はありません。PAMHTTP Web SSO
- SAML 2.0 SSO POST: Web ポータルの SAML 属性に関する情報が必要です。詳細については、「自動ログイン用の SAML 2.0 SSO POST の設定」を参照してください。
- [起動 URL]で、URL の例に従います。URLhttps://www.forwardinc.com/login.htmlにアクセスするには、ターゲットのログイン アドレス(www.forwardinc.com)をターゲット テンプレート(<Local IP>:<First Port>)に置き換えます。その結果、次のようなエントリになります:https://<Local IP>:<First Port>/login.html
- [ブラウザ タイプ]で[CA PAM ブラウザ]を選択し、セッション記録を有効にします。
- [アクセス リスト]で、*(アスタリスク)をワイルドカードとして入力します。[アクセス リスト]には、起動 URL と共にアクセスできる URL を指定します。自動ログイン中に、Web ポータルにログインするには、起動 URL の後にログインの応答に関連するその他の URL が続きます。そのため、Web ポータルに自動ログインするには、[アクセス リスト]に「*」またはアクセスが許可されている各ホストのいずれかを指定する必要があります。
- [OK]を選択してサービスを保存します。
自動ログイン サービスをデバイスに割り当てる
新しく作成されたサービスを web ポータルをホストしているデバイスに追加します。これで、デバイスがポリシーで使用可能になります。デバイスの設定に関する詳細については、「デバイスの設定」を参照してください。
以下の手順に従います。
- [デバイス]-[デバイス管理]を選択します。
- Web ポータルをホストしているターゲット デバイスを追加します。
- [サービス]タブを選択し、定義した新しい TCP/UDP サービスを選択します。
- [OK]を選択します。
ターゲット アプリケーション、ターゲット アカウント、およびポリシーの作成
Web ポータルのターゲット アプリケーションとアカウントを設定します。これらのタスクを完了すると、認証情報のストレージが有効化されます。このポリシーは、ユーザーとデバイスを結びつけて Web ポータルに自動的にアクセスします。
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アプリケーション]を選択します。
- [追加] をクリックし、以下のフィールドに入力します。
- ホスト名:[選択]の虫眼鏡アイコンを使用して検索し、Web ポータルをホストしているデバイスのホスト名を選択します。[デバイス名]には自動的に入力されます。
- アプリケーション名:わかりやすいアプリケーション名を入力します。
- アプリケーション タイプ:デフォルトの[汎用]を選択します。
- [OK]を選択してターゲット アプリケーションを保存します。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- [追加] をクリックし、以下のフィールドに入力します。
- アプリケーション名:[選択]の虫眼鏡アイコンを使用してアプリケーションを検索し、選択します。ホスト名:自動的に入力されます。
- アカウント名:Web ポータルにログインするためのアカウント名(ユーザ名)を入力します。例:admin。
- パスワード:アカウントのパスワードを入力します。
- [OK]を選択してターゲット アカウントを保存します。
- [ポリシー]-[ポリシー管理]を選択します。
- [追加]を選択して、自動ログイン サービスをホストするデバイスに既存のユーザまたはグループを関連付けるポリシーを設定します。
- [サービス]タブで、作成したサービスを選択します。
- [ターゲット アカウント]列で、[編集]の虫眼鏡アイコンを使用してアカウントを選択します。
- [OK]を選択します。
ターゲット Web サイトで
PAM
HTML Web SSO メソッドを使用する場合は、「学習」手順を設定してエンド ユーザのためにポータルをアクティブ化する必要があります。PAM HTML Web SSO の学習手順の設定
PAM
HTML Web SSO の学習手順の設定ターゲット Web サイトで
PAM
HTML Web SSO メソッドを使用する場合、「学習」手順を実行して、エンド ユーザのためにポータルをアクティブ化する必要があります。HTML 自動接続ポータルでは、HTML フィールドおよびボタン ウイジェットが特定される必要があります。これらの設定は、ログイン ユーザ名とパスワードをキャプチャし、ログイン処理のためにユーザ名と パスワードを送信するようブラウザをアクティブ化します。学習手順を設定するには、以下の手順に従います。
- PAMUI にログインします。
- [アクセス]ページに移動します。これで、Web ポータルのドロップダウン リストを、このデバイスの 2 つのサービス(たとえば、MyApp (学習)とMyApp)で利用できるようになります。
- [学習]オプションの左側に、赤いXが表示されます。管理者は[学習]オプションを使用してログイン アドレスに接続し、サービスがターゲット ウィジェットを認識するように指示します。セットアップが成功すると、赤いXは緑のチェック マークに変わります。チェック マークは、web ポータルへのアクセスがアクティブ化され、使用できることを示します。
- [ログイン]オプションは、実際のログイン エントリ用です。管理者はログイン サービスが機能するよう、最初に[学習モード]を正しく適用する必要があります。
- [学習]オプションを選択します。学習ツールによってターゲットの Web ポータル ページが起動しますが、ログインはできません。ブラウザのタイトル バーでウィンドウ名の前に「Web SSO の学習モード」とあります。
- サービスが自動ログインにウィジェットを使用するためには、サービスにウィジェットが配置されている場所を教えます。
- [ユーザ名](またはその他の名前識別子)フィールドを右クリックして、[学習]メニューを開きます。
- [アカウント名] フィールドをマークを選択します。フィールドには、プレースホルダ フィールド「accountname」が設定されます。
- [パスワード]フィールド内を右クリックし、[[パスワード]フィールドをマーク]を選択します。フィールドには、難読化されたパスワードが表示されます。
- ログイン ボタンの上にポインタを移動し、右クリックして[サブミット] ボタンをマークを選択します。
- ポータルに必要なその他のウィジェットについては、各ウィジェットに必要な操作を実行します。(選択する右クリック メニュー項目はありません。また、フィードバックはありませんが、すべて操作は記録されます。)
[認証タイプ]設定で「LDAP」を選択します。また、リストから適切な構成済みドメインを選択します。これらのアクションはすべて、保存するときに自動接続用に保持されます。 - ブラウザ ウィンドウの右上隅にある[Saveauto-login template(自動ログイン テンプレートの保存)]ディスク アイコンを選択します。設定が保存され、ブラウザ ウィンドウが閉じます。
- いつでも学習手順を繰り返して、新しい結果を保存できます。
- [アクセス]ページに戻ります。学習オプションには、学習オプションが完了したことを示す緑のチェック マークが付いています。
エンド ユーザが UI にログインすると、
[アクセス]
ページには、[ラーニング モード]オプションがない単一のアクセス リンクがあります。ユーザはそのリンクを選択し、ターゲット Web ポータルに自動ログオンします。自動ログイン用の SAML 2.0 SSO POST の設定
Google.com などの SAML SSO をサポートしているサードパーティ製 Web ポータルへの自動ログインを設定できます。Web ポータルで SAML SSO 情報に関するさまざまなフィールドや属性を設定するには、サードパーティの SAML プロバイダの手順を参照する必要があります。理想では、SAML 2.0 SP メタデータを XML としてプロバイダからインポートします。AWS および Google アプリケーションの例を含む、SAML 認証の設定の詳細については、「アイデンティティ プロバイダ(IdP)として製品を設定する方法」を参照してください。
TCP/UDP サービスの
[基本情報]
タブの設定方法については、「TCP/UDP 自動ログイン サービスの設定」を参照してください。[自動ログイン方法]
で[SAML 2.0 SSO POST]を選択すると、2 つのタブがアクティブになります。 - [基本情報]タブで、[サービス名]に、Web ポータルの[エンティティ ID]を使用します。この値は多くの場合、ドメイン名です。
- [自動ログイン方法]で、[SAML 2.0 SSO POST]を選択します。[SAML SSO 情報]および[SAML SSO 属性]タブがアクティブになります。
- [起動 URL]フィールドに、RP のアサーション コンシューマ サービス(ACS)の URL を入力します。ACS URL は、PAMWeb ポータル URL ルートと ACS URL の組み合わせです。たとえば、Web ポータル URL ルートは、"https://local_ipfirst_port" です。ACS URL は次のとおりです:https://capamAsSp.example.com/samlsp/module.php/saml/sp/saml2-acs.php/capam-default-spその結果として起動 URL は次のようになります。https://111.12.123.21:239/samlsp/module.php/saml/sp/saml2-acs.php/capam-default-sp
- [Symantec PAM でルーティング]チェック ボックスはオンのままにします。このオプションは、すべてのトラフィックがPAMを経由するようにします。このオプションが選択されていない場合は、トラフィックはクライアントのワークステーションから Web サービスへ直通します。
- [SAML SSO 情報]タブで、サードパーティ RP の以下の情報を入力します。
- SAML エンティティ ID:この ID は通常、ドメイン名です。
- 開始パーティ:コールを開始するパートナーを選択します。
- SP Initiated(デフォルト):ユーザが最初に SP/RP にログインしている場合、アサーションを取得するために認証リクエストが IdP に送信されます。返されたアサーションにより、SP はサービス アクセスについての判断ができるようになります。(SAML 2.0 のみ)
- IdP Initiated- ユーザが IdP にログインし、接続を開始して、SP でのサービスのためにアサーションを取得します。
- 署名された認証リクエスト必須:このチェック ボックスは、デフォルトで選択されます。SP は、IdP に送信する認証リクエストに署名する必要があります。署名を確認するには、提供されている PEM 署名証明書である gkcert.crt を[PEM 署名証明書]フィールドに指定します。
- 暗号化:デフォルトでは、暗号化は無効です。名前 ID またはアサーションをPAMで暗号化するかどうかを選択し、X.509 証明書の暗号化証明書の base64 変換を[PEM 暗号化証明書]フィールドに貼り付けます。例:<ds:X509Data> <ds:X509Certificate>encodedContent</ds:X509Certificate>
- [SAML SSO 属性]タブで、Web ポータルに適切な[SAML SSO サブジェクトの名前識別子の形式]を選択します。リストに含まれていない属性がプロバイダで必要な場合は、[新しい SAML SSO 属性を追加します]セクションで属性を指定します。各エントリのフィールドに入力します。
- 名前: 属性名を指定します。
- フレンドリ名: アプライアンスが使用する名前またはタグを割り当てます。インポートされた SP メタデータが使用するフレンドリ名を指定しない場合は、[名前]フィールドのエントリが使用されます。
- 必須: この属性が SP に必要である場合は選択します。ポリシー設定の[SAML]タブで、SAML のマッピングを追加する必要が生じる場合があります。
- [OK]を選択します。
- 「自動ログイン サービスをデバイスに割り当てる」の手順に従います。
- 「ターゲット アプリケーション、ターゲット アカウント、およびポリシーの作成」の手順に従います。
vSphere Web Client 6.0 への自動ログインの設定
vSphere Web Client 6.0 への自動ログインを設定するには、前述の手順を完了する際に、以下の設定を使用します。
- ポート:443
- 自動ログイン方法:PAMHTTP Web SSO
- 起動 URL:https://<Local IP>:<First Port>/vsphere-client
- アドレス:vSphere サーバのドメイン名を指定します。IP アドレスは機能しません。例:vcenter.north.afc.nfl.local