機械翻訳について
  1. 概要ガイド
  2. Identity and Access Managementの概要
  3. アイデンティティ・プロバイダによるフェデレート

アイデンティティ・プロバイダによるフェデレート

多くの企業は、アイデンティティ・プロバイダを使用してユーザー・ログインとパスワードを管理し、セキュアなwebサイト、サービスおよびリソースへのアクセスについてユーザーを認証します。 Private Cloud Appliance 「コンピュートWeb UI」にアクセスするには、ユーザーはユーザー名とパスワードを使用してサインインする必要もあります。 管理者は、クラウド・リソースにアクセスして使用するための新しい資格証明を作成するのではなく、各ユーザーが既存のログインとパスワードを使用できるように、サポートされているアイデンティティ・プロバイダで「連邦」できます。

フェデレーションには、アイデンティティ・プロバイダとPrivate Cloud Applianceの間の信頼関係の設定が含まれます。 管理者がその関係を確立すると、「コンピュートWeb UI」に移動するユーザーには、アイデンティティ・プロバイダが提供する「シングル・サインオン」エクスペリエンスが求められます。

サポートされているアイデンティティ・プロバイダ

アイデンティティ・フェデレーションの場合、Private Cloud ApplianceはSecurity Assertion Markup Language (SAML) 2.0プロトコルをサポートしています。 ただし、バージョン3.0.1でサポートされているアイデンティティ・プロバイダは、Active Directory Federation Servicesを介したMicrosoft Active Directoryのみです。

組織には複数のActive Directoryアカウントを設定できます。たとえば、組織の部門ごとに1つずつ設定できます。 複数のActive DirectoryアカウントをPrivate Cloud Applianceとフェデレートできますが、設定する各フェデレーション信頼は単一のActive Directoryアカウントに対するものである必要があります。 アイデンティティ・フェデレーションは、「コンピュートWeb UI」および「サービスWeb UI」で使用できます。

Private Cloud Applianceバージョン3.0.1では、現在、アイデンティティ・システム全体でのユーザー・プロビジョニングを可能にする標準プロトコルであるCross-domain Identity Management (SCIM)のシステムをサポートしていません。 SCIMを使用しないと、アイデンティティ・プロバイダのユーザー・アカウントをテナンシで自動的にプロビジョニングして同期することはできません。 そのため、フェデレーテッド・ユーザーの資格証明はテナンシ内で管理できません。

フェデレーテッド・ユーザーの経験

「コンピュートWeb UI」を参照すると、ユーザーはテナンシの名前の入力を求められます。 フェデレーテッド・ユーザーは、使用するアイデンティティ・プロバイダを選択し、認証のためにアイデンティティ・プロバイダのサインイン・インタフェースにリダイレクトされます。 すでに設定されているユーザー名とパスワードを入力すると、アイデンティティ・プロバイダによって認証され、Private Cloud Appliance 「コンピュートWeb UI」にリダイレクトされます。 ここから、付与された権限に従って、テナンシのリソースにアクセスできます。

フェデレーテッド・ユーザー・アカウントはアイデンティティ・プロバイダ内で作成および管理され、Private Cloud Appliance内でレプリケートまたは同期されません。 フェデレーテッド・ユーザーには、テナンシのPrivate Cloud Applianceグループにマップされているアイデンティティ・プロバイダ・グループのメンバーシップに基づいてアクセス権が付与されます。 ローカル・ユーザーとは異なり、フェデレーテッド・ユーザーは「コンピュートWeb UI」を使用して資格証明を管理できません。 「ユーザー設定」ページがなく、パスワードを変更またはリセットすることもできず、APIおよびCLIを使用するためのAPI署名キーをアップロードすることもできません。

フェデレーション・プロセスの概要

Private Cloud Applianceとアイデンティティ・プロバイダの間のフェデレーション信頼を設定するには、両方のシステムでそれぞれ特定のステップを実行します。 通常、アイデンティティ・フェデレーションは次のステップで構成されます:

  1. アイデンティティ・プロバイダでグループを構成し、Private Cloud Applianceテナンシのグループにマップできるようにします。

  2. アイデンティティ・プロバイダからSAMLメタデータ・ドキュメントをダウンロードし、マップするグループの名前を収集します。

  3. Private Cloud Applianceテナンシで新しいアイデンティティ・プロバイダを設定します。 アイデンティティ・プロバイダ・メタデータ・ファイルをアップロードする必要があります。 この段階でグループ・マッピングを作成するか、戻って後で追加します。

  4. テナンシのフェデレーション・ページからPrivate Cloud Applianceフェデレーション・メタデータ・ドキュメントをダウンロードします。

  5. Private Cloud Applianceを信頼できるアプリケーションまたは信頼できるリライイング・パーティとしてアイデンティティ・プロバイダで設定します。 Private Cloud Applianceフェデレーション・メタデータ・ドキュメントをアップロードするか、それにURLを指定する必要があります。

    アイデンティティ・プロバイダSAML認証レスポンスは、Private Cloud Applianceで必要なパラメータである「名前ID」および「グループ」を含むように構成する必要があります。

  6. マップされたグループのIAMポリシーの設定。

  7. フェデレーテッド・ユーザーにテナンシの名前とPrivate Cloud Appliance 「コンピュートWeb UI」のURLを指定します。