ノート:

Rapid7コマンド・プラットフォームのSSOソースとしてのOCI Identity and Access Managementの構成

イントロダクション

Oracle Cloud Infrastructure(OCI)は、コンピューティング、ストレージ、ネットワーキング、データベース、アイデンティティ管理など、包括的なクラウド・サービスを提供するOracleのクラウド・コンピューティング・プラットフォームです。OCIは、従来のアプリケーションと新しいクラウドネイティブ・ワークロードの両方向けに設計されており、さまざまなサービス・レベルでスケーラビリティ、セキュリティ、パフォーマンスを提供します。また、OCIは、シングル・サインオン(SSO)を有効にしてセキュリティを強化し、ユーザーの利便性を高めるためのSAMLなどの機能を含む、堅牢なアイデンティティおよびアクセス管理(IAM)システムをサポートしています。OCIのSAMLベースのアイデンティティ・フェデレーションにより、企業は外部のアイデンティティ・プロバイダと統合でき、さまざまなOCIリソースでのユーザー・アクセスを合理化できます。

Rapid7は、脅威の検出、脆弱性管理、インシデント対応に重点を置いたサイバーセキュリティ・ソリューションの大手プロバイダです。InsightIDRInsightVMなどのツールにより、Rapid7を使用すると、組織はクラウド環境を含むインフラストラクチャ全体の脆弱性を検出および管理できます。Rapid7のSAML統合機能は、組織がOCIなどのアイデンティティ・プロバイダと接続できるようにすることで、認証を簡素化します。この接続により、シングル・サインオン機能でユーザーを強化し、パスワードの依存性を減らしながら、Rapid7のセキュリティ・ツールおよびインサイトへのシームレスなアクセスを可能にすることで、セキュリティを向上させます。

このチュートリアルでは、Security Assertion Markup Language (SAML) 2.0を使用して、Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)をRapid7コマンド・プラットフォームのシングル・サインオン(SSO)ソースとして構成するタスクについて説明します。これにより、OCI IAMを使用して、Rapid7コマンド・プラットフォームのユーザー認証を管理できます。

対象読者

OCI IAMプロフェッショナルおよびRapid7管理者。

目的

前提条件

タスク1: Rapid7コマンド・プラットフォームでのSSO設定の構成

このタスクでは、Rapid7コマンド・プラットフォームでSAML 2.0を使用してSSO設定を構成します。

  1. SSO設定にアクセスするには、次のステップを実行します。

    1. Rapid7コマンド・プラットフォームのホームページに移動し、「管理」リンクをクリックします。

    2. 設定アイコンをクリックします。

    3. 「認証設定」および「SSO設定」をクリックします。

    イメージ 2

  2. 「IDプロバイダの選択(IdP)」ドロップダウン・メニューから「その他」を選択します。

    イメージ 3

    ノート: IdP証明書は、タスク2の完了後にアップロードします。

  3. アサーション・コンシューマ・サービス(ACS) URLオーディエンス(EntityID)およびリレー状態のURLをコピーします。完了したら、タスク2に進みます。

    イメージ 6

  4. タスク2でダウンロードしたメタデータからエンティティIDおよびSingleSignOnService URLをコピーし、「構成済インサイト・プラットフォーム」セクションの「発行者URL」および「シングル・サインオンURL」でそれぞれこれを使用します。

    イメージ 22

    イメージ 12

    ノート:シングル・サインオンURLの形式はhttps://idcs-##############.identity.oraclecloud.com/fed/v1/idp/ssoです。

  5. IdP証明書をアップロードします。

    イメージ 5

  6. 新規ユーザーに割り当てるデフォルトアクセスプロファイルの設定。このデフォルト・アクセス・プロファイルを設定すると、OCI IAMで作成されたすべての新規ユーザー・アカウントに自動的に割り当てられます。既存のユーザー・アカウントへのアクセスは影響を受けません。

    イメージ 13

    イメージ 14

    イメージ 28

  7. IdPユーザー・グループ同期を有効にします。OCI IAMグループをRapid7コマンド・プラットフォームと同期すると、OCI IAMでRapid7コマンド・プラットフォームのユーザー・グループ・メンバーシップを管理できます。IdPグループに割り当てられたOCIユーザーは、Rapid7コマンド・プラットフォームで一致するユーザー・グループに自動的に割り当てられます。この方法で割り当てられたユーザーは、元のIdPグループに属していれば、定義されたすべての製品、ロールおよびデータ権限を継承します。

    イメージ 16

    イメージ 15

  8. 「はい」をクリックして、外部IdPを介したSSOを有効にします。

    イメージ 17

  9. 「ダウンロード」をクリックして、SPのメタデータをダウンロードします。

    イメージ 23

  10. X509Certificateをそこから抽出して、.pemファイルを作成します。

    イメージ 26

タスク2: OCI IAMアイデンティティ・ドメインでのSAMLアプリケーションの作成

それぞれのOCI IAMアイデンティティ・ドメインにSAMLアプリケーションを作成します。これは、SSO用のSAML 2.0プロトコルを使用して、OCI IAMとRapid7コマンド・プラットフォーム間のセキュアな通信リンクを確立するために必要です。

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して「ドメイン」をクリックします。

    イメージ 19

  2. ドメインを選択し、「統合アプリケーション」をクリックして「アプリケーションの追加」をクリックし、「SAMLアプリケーション」を選択して「ワークフローの起動」をクリックします。

    イメージ 20

  3. アプリケーションの「名前」「リレー状態」を入力し、「次へ」をクリックします。

    イメージ 11

  4. 「シングル・サインオンの構成」セクションで、「エンティティID」「アサーション・コンシューマURL」を入力し、「Name ID形式」「未指定」「Name ID値」「ユーザー名」と入力して、Rapid7コンソールからダウンロードした署名証明書をアップロードします。

    イメージ 8

    ノート: Rapid7コマンド・プラットフォームでSSOを構成すると、ダウンロードしたメタデータから証明書を抽出できます。

  5. 「追加構成」セクションで、「署名に署名証明書を含める」を選択し、「シングル・ログアウトの有効化」の選択を解除します。もう一方のパラメータはデフォルトのままにします。

    イメージ 9

    ノート:要件に基づいて、「単一ログアウトの有効化」機能を選択または選択解除します。この機能を有効にするには、それぞれのフィールドにSLO URLを追加する必要があります。

  6. 「属性構成」セクションで、次の構成を使用します。

    イメージ 10

    ノート: Rapid7コマンド・プラットフォームへの認証には、イメージ内の次の属性文が必須です。

  7. Finish」および「Activate」をクリックして設定を完了します。

  8. 「署名証明書」および「アイデンティティ・プロバイダ・メタデータ」をダウンロードします。完了したら、タスク1.4に戻って続行します。

    イメージ 21

タスク3: グループ同期

グループ同期を使用すると、OCI IAM内からユーザー・グループ割当てを制御できます。

この機能は、各ユーザーのRapid7コマンド・プラットフォーム・グループの名前を含むrbacGroupsというラベルのSAMLレスポンスに属性を含めることで実現できます。ユーザーは、Rapid7コマンド・プラットフォーム内の対応するグループに自動的に割り当てられ、それらのグループに関連付けられた製品、ロールおよびリソース・アクセスを継承します。

ノート: 「グループ同期」を有効にすると、IdPユーザーは、SAMLアサーションに含まれていないRapid7コマンド・プラットフォーム・グループから削除されます。IdPユーザーは、直接割り当てられたロールまたは権限(デフォルトのアクセス・プロファイルからのものを含む)を保持します。

Rapid7コマンド・プラットフォームでユーザー・グループを作成するには、「管理」「ユーザー管理」に移動し、「ユーザー・グループ」をクリックします。

タスク4: ユーザー・グループの構成

グループ同期ではRapid7コマンド・プラットフォーム・ユーザー・グループを使用する必要があるため、アクティブ化する前にグループを構成しておくことが重要です。

  1. グループ属性を追加します。OCI IAMでは、ユーザーが、対応するRapid7コマンド・プラットフォーム・ユーザー・グループと同じ名前のグループに割り当てられていることを確認する必要があります。これらのグループをまだ作成していない場合は、次のステップを実行します。

    1. OCIアイデンティティ・ドメイン・コンソールで、「グループ」に移動します。

    2. グループの作成」をクリックします。

    3. 対応するRapid7コマンド・プラットフォーム・ユーザー・グループと同じ名前を入力します。

    4. 「ユーザー」セクションで、このグループを割り当てるユーザーを選択します。

    5. 「作成」をクリックします。

    グループを構成したら、各ユーザーが割り当てられているグループの名前を含む属性をSAMLアサーションに追加する必要があります。

  2. OCI IAMアイデンティティ・ドメインのSAMLアサーションに属性を追加します。

    1. OCI OCI Identity Domainsコンソールで、「統合アプリケーション」に移動し、Rapid7アプリケーションを選択します。

    2. 「SAML Settings」セクションの「Edit SSO Configuration」をクリックします。

    3. 次の「属性文」を追加し、「保存」をクリックします。

    イメージ 27

    ユーザーをRapid7コマンド・プラットフォームのユーザー・グループに同期するためにOCI IAMから必要なすべての情報は、ユーザーがSSOを使用して認証するときに含められます。

タスク5: SSOのテスト

  1. Rapid7インサイトURL (https://insight.rapid7.com)に移動し、「SSOでサインイン」をクリックします。

    イメージ 24

  2. 資格証明を入力します。

    イメージ 18

    これで、Rapid7コマンド・プラットフォームに正常にログインしました。

    イメージ 25

    また、ユーザーは、OCI IAMのグループ・メンバーシップに基づいて自動的にユーザー・グループに追加されます。

承認

その他の学習リソース

docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントは、Oracle Help Centerを参照してください。