SAML サービス プロバイダ(SP)としての PAM の設定
SAML サービス プロバイダ(SP)として機能するように PAM を設定できます。SP は、ユーザを認証するためにアサーションを使用します。認証が成功すると、SP は提供する要求されたサービスへのアクセスを許可します。
pam415
以下のセクションでは、
PAM
SP の設定方法を説明します。SAML 設定の前提条件
PAM
が SP として機能するように設定する前に、いくつかの初期タスクを完了する必要があります。- ユーザ アカウントのプロビジョニング
- SAML 全体設定の設定
- 認証リクエストに署名するための証明書の取得
これらの事前に必要な手順は、後続のいくつかのセクションで説明します。
各側のユーザ アカウントのプロビジョニング
SP と IdP には、ユーザ名が一致するユーザ アカウントが必要です。ユーザは、SP 側のリソースにアクセスするための許可が必要です。
SAML 全体設定の設定
SP 構成を設定する前に、デフォルトの SAML 設定を確認します。
以下の手順に従います。
- [設定] - [全体設定]を選択します。
- [SAML]タブを選択します。
- 以下の 2 つの設定を確認します。
- 継承された SAML 認証が必要: ユーザ グループの認証方式が SAML に設定されている場合は、このオプションを選択すると、すべてのユーザ グループ メンバに SAML が適用されます。個々の認証方式は無視されます。この設定はデフォルトで選択されます。
- SAML の再認証期間(分)この設定は、Privileged Access Managerが IdP の場合のみに適用されます。この設定では、PAMIdP とのセッションがタイムアウトするまでの非アクティブ状態の時間を分単位で指定します。次の SSO リクエストをするには、ユーザが再度ログインする必要があります。デフォルト: 60 分
認証リクエストに署名するための証明書の取得
認証リクエストなどの項目を暗号化するには、SP の証明書が必要です。
PAM
の完全修飾ドメイン用の SSL 証明書を取得します。 以下の手順に従います。
- [構成]-[セキュリティ]-[証明書]に移動します。
- [作成]タブで、[CSR](Certificate Signing Request、証明書署名要求)を選択します。詳細については、「自己署名証明書または証明書署名要求を作成する」を参照してください。CSR を使用して、証明書、CA チェーン、および CRL を適切な認証機関から取得します。
- これらのファイルを取得したら、それらをアップロードします。[構成]-[セキュリティ]に移動し、[アップロード]タブを選択します。適切なファイルを選択し、アップロードします。
- [設定]タブに移動し、その証明書を許可します。
例:
PAM
での SAML SSO の設定以下の例は、SAML パートナーとして機能する 2 つの
PAM
サーバの間で SAML シングル サインオンはどのように確立されるかを示します。この手順の前提は、以下のとおりです。
- SP と IdP は、両方ともPAMアプライアンスです。
- 各パートナーが互いを定義するためには、メタデータ ファイルが使用されます。
SP への IdP メタデータのインポート
IdP メタデータ ファイルは、IdP が提供する SAML サービスを記述した XML ファイルです。このドキュメントには、SP から IdP への認証リクエストの送信方法についての情報が含まれています。このファイルには、IdP によるすべてのアサーションへの署名に使用される証明書(公開鍵)が含まれています。最後に、このファイルには、IdP の完全修飾ドメイン名(または IP アドレス)が含まれています。したがって、FQDN または証明書が変更されるたびに、IdP メタデータを更新し、ファイルを SP にアップロードします。
メタデータ ファイルのダウンロード
- 設定管理者としてPAMIdP にログインします。
- [構成]-[セキュリティ]-[SAML]に移動し、[IdP 構成]タブを選択します。
- アプライアンスのホスト名またはデフォルト証明書の変更後に、IdP 構成を以下のように更新します。
- [エンティティ ID]で、この IdP を識別する一意の名前を割り当てます。この ID は、IdP メタデータ ファイルのほか、IdP が生成するアサーションにも含まれます。
- [完全修飾ホスト名]に、この SP で使用されている値を入力します(例: mypam.example.com)。
- [IdP 証明書]のドロップダウン リストから、証明書と秘密キーの組み合わせを選択します。
- [IdP 構成の更新]を選択して、最新の証明書、ホスト名、および割り当てられた ID を適用します。
- ホスト名を変更したら、そのパネルの[Accept IdP Certificate(IdP 証明書を許可)]をクリックします。
- [IdP メタデータをダウンロードする]をクリックして、メタデータ ファイルをローカルに保存します。
- メタデータを SP にアップロードします
メタデータの SP へのアップロード:
- 設定管理者として SP にログインします。
- [構成]-[セキュリティ]-[SAML]-[SP 構成]タブに移動します。
- 少なくとも、必須フィールドを入力します。
- [設定の保存]を選択します。
- [構成済みリモート SAML IdP]サブタブを選択します。
- [アイデンティティ プロバイダ メタデータのアップロード]ボタンをクリックし、少なくとも 1 つの対応する IdP を指定します。IdP からのメタデータ ファイルを参照し、[アップロード]を選択します。
- [設定]タブに移動し、そのファイルを許可します。
これで、IdP が、その[
フレンドリ名
](指定されている場合)および[エンティティ ID
]によって識別されるようになりました。SP メタデータの IdP へのインポート
この
PAM
SP では、インポートされた IdP メタデータ ファイルを使用して IdP が認識されるようになっています。IdP による識別のため、SP メタデータ ファイルを使用するようにします。そうすると、SP と IdP が相互に認識して通信できるようになります。SP メタデータのダウンロード
- [構成]-[セキュリティ]-[SAML]に移動し、[SP 構成]-[構成済みリモート SAML IdP]サブタブを選択します(それ以外の場所を表示している場合)。
- 探している IdP の項目を特定します。
- この IdP の[メタデータのダウンロード]リンクを選択し、それをクリックして、この SP のメタデータ ファイルをローカルに保存します。
SP メタデータの IdP へのアップロード
- 設定管理者として IdP にログインします。
- [サービス]-[SAML 2 SP メタデータのインポート]を選択すると、インポート ページが表示されます。
- [ファイルの選択]を使用して、SP から取得した XML ファイルを見つけます。
- [SAML 2 SP メタデータのインポート]ボタンを選択して、そのファイルを IdP にアップロードします。その後、いくつかの確認メッセージが表示されます。エラーがある場合のメッセージは赤色で表示されます。
- [サービス]-[TCP/UDP サービス管理]の下に、IdP の[SAML エンティティ ID]に一致する[サービス名]でサービス レコードが作成されていることを確認します。[更新]ボタンを選択して詳細を表示します。そのレコードには以下の情報が含まれています。
- [Web ポータル]の一般的な仕様には、[自動ログイン方法] = [SAML2.0 SSO POST]
- [アサーション コンシューマ サービス URL]である[起動 URL]
- [SAML SSO 情報]タブには[SAML エンティティ ID]
- [SAML SSO 属性]タブには、[SAML SSO サブジェクトの名前識別子の形式]および[SAML SSO 属性]
- [デバイス]-[デバイス管理]で、デバイス レコードが、IdP の SAML 適用 FQDN に一致している[名前]と[アドレス]で作成されていることを確認します。
SSO アクセス ポリシーのプロビジョニング
SP と IdP は相互に信頼するように設定されています。これで、IdP のユーザが SP のサービスにアクセスできるように、IdP をプロビジョニングできます。
SP (特定のユーザまたはユーザ グループ用)のポリシーを開く際に、対応する SP サービスを選択します。このサービスは、エンティティ ID によって識別されます。この操作では[SAML]タブが開いて、その属性を指定できます。
SAML 属性が適切に識別されない場合は、必要に応じてそれらを変更してください。SAML 名前 ID 形式は、最初は指定されていません。この値がない場合には、使用可能な選択肢のいずれかを選び、
xAttribute
が使用できるようにします。SAML SSO におけるユーザ エクスペリエンス
SAML SSO を設定した後は、
PAM
UI のログイン画面でシングル サインオン
オプションが使用可能になります。以下のプロセスは、SP で開始された接続を想定しています。
- ユーザは、ログイン画面で[シングル サイン オン]を選択して、SP にあるリソースを要求します。
- ログインが別のターゲットである IdP での認証に進んだことがユーザに知らされます。複数の IdP ターゲットがある場合は、ユーザがドロップダウン リストから選択してEnterキーを押す必要があります。
- 次に、IdP のログイン ページが表示されます。シングル サインオンオプションは、その IdP では使用できません。
- ユーザは、必要なクレデンシャルを入力します。
- IdP でユーザが認証されると、IdP のタスクは完了します。コントロールは SP に戻され、そこで、ユーザはアプリケーションへのアクセスを付与されます。
JIT プロビジョニング
PAM
の Just-in-Time (JIT) SAML プロビジョニングにより、SAML アサーションから新しいユーザ アカウントをプロビジョニングできます。JIT プロビジョニングを効率的に動作させるには、以下のガイドラインに従います。
- SAML アサーションで使用されるユーザ グループと一致するPAMユーザ グループを作成します。
- これらのユーザ グループのアサーションでuserGroup属性を使用します。
- ユーザは、ユーザがプロビジョニングされていない既存のユーザ グループに属している必要があり、認証は失敗します。ユーザはログイン ページにリダイレクトされます。
- ユーザは複数のユーザ グループに属することができます。
- ユーザが一連の異なるユーザ グループを使用して後からログインする場合、ユーザはそれらのユーザ グループに移動します。
- ユーザの権限は、ユーザ グループによって定義されます。
- 管理者は、アプライアンス内のユーザ グループ メンバシップを管理できません。アサーションのみを使用してメンバシップを管理できます。
- このユーザ グループの動作は、JIT プロビジョニングを使用してプロビジョニングされたユーザに対してのみ機能します。
JIT プロビジョニング ユーザ グループの例
以下の例では、SAML
userGroup
属性がユーザ グループと連携する方法について説明します。これらの例では、次のユーザ グループが PAM
で設定されます: グループ A、グループ B、グループ C、グループ D。- SAML アサーションにはグループ A とグループ C が含まれます。ユーザはそれらのユーザ グループにプロビジョニングされます。
- アサーションにグループ E しか含まれない場合は、JIT のプロビジョニングと認証に失敗します。ユーザはログイン ページにリダイレクトされます。
- ユーザはグループ A とグループ C に属し、アサーションにグループ B とグループ D が含まれます。ユーザ アカウントはグループ A とグループ C からグループ B とグループ D に移動します。
JIT プロビジョニングの設定
「SP としての
PAM
の設定」にある手順と同じ手順に従います。[SP 構成]ページの[構成済みリモート SAML IdP]
ステップに移動し、手順のとおりに IdP 情報をアップロード
または追加
します。- [追加]を選択してアイデンティティ プロバイダ(IdP)レコードを手動で作成した場合は、[Just In Time プロビジョニングを許可する]チェック ボックスをオンにします。
- [アイデンティティ プロバイダ メタデータのアップロード]を選択して、インポートされた IdP メタデータ ドキュメントから IdP レコードを作成した場合は、後で[更新]を選択します。[ジャスト イン タイム プロビジョニングを許可する]チェック ボックスをオンにします。
[設定の保存]
を選択します。