Pandora: Documentation ja: saml

From Pandora FMS Wiki
Jump to: navigation, search

Pandora FMS ドキュメント一覧に戻る

1 Pandora FMS での SAML シングルサインオン

SAML は、XML をベースにした、認証のためのオープンな標準規格です。Pandora FMS Enterprise は、内部の SAML IdP(ID プロバイダ) と共に、SP (サービスプロバイダ) として動作します。

Template warning.png

管理者は常にローカルのデータベースで認証されます。

 


1.1 Pandora FMS の設定

管理メニュー(Administration) -> 設定(Setup) -> 認証(Authentication) へ行き、認証方法(Authentication method)SAML を選択します。

Saml5.JPG

1.2 サービスプロバイダ設定


SimpleSamlphp をダウンロードし、/opt/simplesamlphp/ にインストールします。

/opt/simplesamlphp/lib/_autoload.php というファイルがあるか確認します。

SimpleSAMLphp Service Provider QuickStart ガイドに従い、サービスプロバイダの設定を行います。IDプロバイダのメタデータが必要になります。

simplesamlphp をインストールしたら、saml でのログインが正しく動作するかを確認します。最後に、以下にアクセスし認証元を選択します。 

http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php

Saml1.JPG

次のようなログイン画面が表示されるので、作成した saml ユーザとパスワードを入力します。

Saml2.JPG

正しくログインできると、すべてのユーザ属性を含む概要画面が表示されます。

1.3 IDプロバイダの設定


saml ユーザが Pandora FMS で正しく生成されるためには、SAML 設定に表示される次の識別属性をすべてのユーザに定義する必要があります。

Saml3.JPG

  • ローカル認証へのフォールバック(Failback to local authentication): 無効にすると、saml に存在しないユーザはログインできなくなります(管理者ユーザを除く)。saml に対する認証が失敗した際、このオプションが無効になっているとサーバのデータベース上のアカウントはチェックされません。
  • リモートユーザの自動作成(Automatically create remote users): saml を使用した初回ログイン時に、ユーザを自動的に作成します。無効にする場合は、事前に手動でユーザを作成しておく必要があります。
  • SimpleSAML パス(SimpleSAML path): simplesamlphp のパスではなく、simplesamlphp がインストールされている場所のパスです。本ドキュメントで示しているように、/opt/simplesamlphp にインストールし、/opt/ を設定する必要があります。
  • SAML ソース(SAML Source): クエリが送られる SAML ソースの名前です。名前は以下で選択したソースにマッチする必要があります。
http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php
  • SAML ユーザ ID 属性(SAML user id attribute): Pandora FMS のユーザ名にマッチする SAML 属性の名前です。
  • SAML メール属性(SAML mail attribute): 作成時に Pandora FMS ユーザのメールと一致する SAML 属性の名前です。
  • SAML グループ名属性(SAML group name attribute): Pandora FMS に作成されたユーザのグループにマッチする SAML 属性の名前です。
  • 単一属性/複数属性(Simple attribute / Multivalue attribute): Pandora FMS のプロファイルおよびタグフィールドのための単一属性または複数の属性を選択できるオプションです。

単一属性の利用を選択した場合は、プロファイル属性(Profile attribute) および タグ属性(Tag attribute)が表示されます。そこで、Pandora FMS のプロファイルおよびタグにマッチする SAML 属性を選択します。

複数属性を選択したときは、以下のフォーマットで属性を指定します。 

<Attribute Name="MULTIVALUE_ATTRIBUTE">
<AttributeValue>PREFIX:role:rolename</AttributeValue>
<AttributeValue>PREFIX:tag:tagname</AttributeValue>
</Attribute>

属性を SAML で作成し、Pandora FMS の設定を行うと、次のパラメータが表示されます。

Saml4.JPG

  • SAML プロファイルおよびタグ属性: 複数属性の名前。
  • SAML プロファイルおよびタグプレフィックス(SAML profile and tags prefix): 値の属性の役割およびタグキーの前につくプレフィックス。urn:artica:role:<rolename> および urn:artica:tag:<tagname> の場合、urn:artica プレフィックスを設定する必要があります。

1.4 ログイン

Pandora FMS コンソールへ行き、ログイン ボタンをクリックします。ID プロバイダへリダイレクトされます。



Saml idp.png



ログインに成功すると、Pandora FMS コンソールにリダイレクトされ戻ってきます。

Retrieved from "https://pandorafms.com/docs/index.php?title=Pandora:Documentation_ja:saml&oldid=57151"