[認証] ワークスペースを使用して、SAML プロトコルと互換性のある認証システムで SaltStack Config 内の SSO が動作するように構成できます。

注: 必要に応じて同時に複数のシステムを使用して、 SaltStack Config のユーザーを認証できます。たとえば、SAML ベースの IdP および LDAP ベースの IdP を使用すると同時に、複数のユーザー認証情報を RaaS サーバにネイティブに保存できます。ただし、 SaltStack Config では、複数の SAML プロバイダまたは複数の LDAP プロバイダを同時に構成することはできません。

SAML SSO について

SAML シングル サインオン (SSO) は、多くの組織が SaltStack Config の実装時に構成する機能です。SSO には、次のような多くのメリットがあります。

  • [ユーザーが同じ ID でサービスにログインするときにかかる時間の短縮。]組織によるいずれかのサービスにログインしたユーザーは、SSO を使用する他のサービスに自動的に認証されます。
  • [パスワードを入力する手間の軽減。]ユーザーが記憶する必要がある認証情報は 1 セットのみで、複数記憶する必要がありません。

ADFS、OneLogin、Okta、Shibboleth、SimpleSAMLPHP、Google Suite などの多くのサービスで、SAML SSO プロトコルの実装が提供されています。

SAML SSO と SaltStack Config の連携

SaltStack Config は、サポートしている認証統合のいずれかから正常な ID アサーションを受信すると、アサートされた ID の値に一致するユーザー ログイン情報を検索します。一致するログインが見つかると、関連付けられたユーザー アカウントのログインを実行します。

たとえば、あるユーザーの ADFS アサーションを SaltStack Config が受信し、構成された ID 属性の値が「fred」の場合、SSE はユーザー名が「fred」のログイン情報を検索します。見つかった場合は、関連付けられたユーザーがログインされます。見つからない場合、ログインは失敗します。

SAML 認証の用語

略語 定義
SAML

[Security Assertion Markup Language(SAML、サムエル)]

SAML は、認証および認証データを関係者間で交換するためのオープン プロトコル(標準とも呼ばれる)です。特に、ID プロバイダとサービス プロバイダの間でデータを交換するために使用されます。

SAML はブラウザ ベースのシングル サインオン (SSO) です。すべての通信は、ユーザー エージェント(ブラウザ)を介して実行されます。サービス プロバイダ(SaltStack Config など)と ID プロバイダ(Azure AD など)の間では、通信は発生しません。この分離により、サービス プロバイダを 1 つの(通常はパブリック)ドメインに置き、ID プロバイダは別のセキュアなネットワーク セグメントに置いて、複数のドメイン間で認証を行うことができます。

IdP

[ID プロバイダ]

IdP の役目は、認証情報に基づいてユーザーを識別することです。ID プロバイダは、SAML の仕様の ID プロバイダ部分に準拠したサービスを提供するソフトウェアです。IdP は通常、ログイン画面インターフェイスを提供し、認証が成功すると、認証されたユーザーに関する情報をサービス プロバイダに提示します。

ID プロバイダのサンプル:

  • ADFS
  • Azure AD
  • Google SAML
  • Shibboleth
  • Okta
  • OneLogin
  • PingFederated
  • SimpleSAMLPHP
SP

[サービス プロバイダまたは証明書利用者]

SP(サービス プロバイダ)は通常、情報、ツール、レポートなどをエンド ユーザーに提供する Web サイトです。サービス プロバイダは、SAML の仕様 SaltStack Config のサービス プロバイダ部分に準拠したサービスを提供するソフトウェアです。Microsoft 製品(Azure AD や ADFS など)では、SP は証明書利用者と呼ばれます。

このシナリオでは、SaltStack Config がサービス プロバイダになります。SaltStack Config は、IdP からの認証アサーションを受け入れて、ユーザーにログインを許可します。

SP は、承認されたサービスのリストに表示されていない IdP を認証できません。承認済み IdP のリストを使用して SP を構成することは、構成プロセスの一部です。

SSO

[シングル サインオン (SSO)]

シングル サインオンは、認証されたユーザーに関する情報がサービスに渡されることで、ユーザーが 2 番目のサービスにログインすることが不要になる認証システムです。

SLO

[シングル ログアウト]

一部の IdP では、ユーザーが 1 つのサービスからログアウトすると、そのユーザーが認証されていた他のすべてのサービスからユーザーをログアウトします。

SaltStack Config では、現在 SLO がサポートされていません。

RBAC

[ロール ベースのアクセス制御]

ロール ベースのアクセス制御は、ロール ベースのセキュリティとも呼ばれる高度なアクセス制御手段であり、組織内でのユーザーの役割に基づいてネットワーク アクセスを制限します。RBAC でのロールは、従業員がネットワークに対して持つアクセス権のレベルを表します。

従業員は、自分の業務を効果的に実行するために必要な範囲でのみ、ネットワーク リソースにアクセスしたりタスクを実行したりすることができます。たとえば、レベルが下位の従業員は、責任を果たすために必要な場合以外、通常は機密データやネットワーク リソースにアクセスしません。

SaltStack Config では、[ロール] ワークスペースを使用して、SAML 構成で RBAC をサポートできます。ただし、ユーザーがローカル ユーザー データベースにユーザーとして追加されて [ロール] ワークスペースで管理されるためには、まず SaltStack Config にログインする必要があります。詳細については、SAML での RBAC の構成を参照してください。