SaltStack Config に対して SAML ベースの認証システムを構成する場合は、さまざまな情報フィールドに入力する必要があります。API を使用して SAML ベースのシステムを設定することもできますが、推奨されません。

SAML の情報フィールド

すべての SAML 認証情報フィールドは必須です。SAML 認証構成の情報を次のように入力します。

注:

接続の設定に関してサポートが必要な場合は、管理者に確認してください。

[基本]

フィールド

説明

名前

SSE で使用される認証接続の名前。この名前は、[認証] ワークスペースにログインするとサイドバーに表示され、複数の構成を設定する場合は一意である必要があります。最初に作成した後に、この名前を変更することはできません。

例:Acme SSO

ベース URI

組織が SaltStack Config で使用するベース URL。ホスト サーバ アドレスとも呼ばれます。FQDN 形式または IP アドレス形式で指定します(例:https://example.com)。末尾はスラッシュ以外である[必要があります]

例:https://sse.example.com

エンティティ ID

この SaltStack Config サービス プロバイダの一意の ID。SAML では URL に似た文字列を指定することが慣習になっていますが、任意のタイプの文字列を指定できます。組織で使用されている他の SAML アプリケーションと比較して一意である必要があります。SaltStack Config をアプリケーションとして登録する場合は、必ず同じ ID を使用してください。

例:https://sse.example.com/saml

[組織情報]

フィールド

説明

会社名

組織の名前。

表示名

組織の名前として表示する名前。

Web サイト

組織の Web サイトの URL。この URL は何でもかまいません。SSO 機能に影響しません。

プライベート キー

生成したプライベート キー (cert.pem)。このキーは PEM 形式である必要があります。詳細については、サービス プロバイダ証明書の作成を参照してください。

パブリック キー

生成したパブリック キーと証明書 (cert.pub)。このキーは PEM 形式 (cert.pub) である必要があります。詳細については、サービス プロバイダ証明書の作成を参照してください。

[技術者の連絡先]

フィールド

説明

名前

組織でアプリケーションを主に担当している従業員の名前。この情報は SAML プロトコルで必要であり、SAML プロバイダに渡されます。SaltStack Config では、この情報を直接使用しません。

E メール

技術者の連絡先のメール アドレス。

[サポートの連絡先]

フィールド

説明

名前

アプリケーションの主要連絡先である技術者に連絡がつかない場合に連絡できる従業員の名前。この情報は SAML プロトコルで必要であり、SAML プロバイダに渡されます。SaltStack Config では、この情報を直接使用しません。

E メール

サポートの連絡先のメール アドレス。

[プロバイダ情報]

フィールド

説明

エンティティ ID

ID プロバイダ (IdP) のエンティティ ID。

Azure AD のエンティティ ID の例:https://sts.windows.net/2f09bc14-a1f0-48ce-8280-0a09e775e40d/

ユーザー ID

永続的なユーザー ID を含むマップされた SAML 属性への参照。

E メール

メール アドレスを含むマップされた SAML 属性への参照。

Username

ユーザー名を含むマップされた SAML 属性への参照。

URL

ID プロバイダの SAML エンドポイントへのアクセスに使用される URL。

x509 証明書

ID プロバイダのシステムを介して生成された組み込みのパブリック キーを使用する X.509 形式の証明書。このキーは PEM 形式である必要があります。

[セキュリティ チェック]

フィールド

説明

属性ステートメント チェック

SaltStack Config でユーザー プロファイルの SAML 属性ステートメントを確認する場合は、このチェックボックスをオンにします。

コマンド ライン (CLI) からの SAML の構成

このガイドでは、SAML の構成に、コマンド ラインではなく、SaltStack Config ユーザー インターフェイスを使用することを強く推奨します。これらの手順は参考のために記載されています。

CLI を使用してほとんどの構成の標準を設定するには、次の手順を実行します。

  1. RaaS ユーザーとしてログインします。
    sudo su raas
  2. オプション:この手順は、SaltStack Config を手動でインストールした場合にのみ必要です。RaaS サーバで、インストーラ ファイルに含まれている OpenSSL .xml ファイルをインストールします。次のコマンドを使用します。
    yum install xmlsec1-openssl
    注:

    RedHat では、どのデフォルト リポジトリでも xmlsec1 をすぐに利用することができません。回避策の 1 つは、CentOS マシンから RPM をダウンロードして RedHat に転送することです。

  3. 構成ファイルを保存するディレクトリに移動します。任意のディレクトリ パスを使用できます。
  4. ID サービス プロバイダに必要な構成情報を含む YAML ファイルを作成します。これらの構成ファイルの書式を設定する方法の例については、構成ファイルのサンプルを参照してください。
    注:

    各種フィールドの説明については、SAML の情報フィールドを参照してください。

  5. 次のコマンドを使用して構成ファイルを実行します。
    raas save_sso_config <filepath>

構成ファイルのサンプル

[Google 用 SAML 構成ファイルのサンプル]

次のサンプルのプレースホルダ テキストを、IdP から提供された情報に置き換えます。

name: Google
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: raas
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
  saml_technical_contact:
    givenName: Name of Your Technical Contact
    emailAddress: email@my_technical_contact.com
  saml_support_contact:
    givenName: Name of Your Support Contact
    emailAddress: email@my_support_contact.com
  saml_enabled_idps:
    saml:
      entity_id: https://accounts.google.com/o/your_organization_id
      attr_user_permanent_id: Your organization's permanent ID
      attr_email: email@my_email_with_identity_provider.com
      attr_username: Your organization's username for the IdP
      url: https://accounts.google.com/o/saml2/your_organization_id
      x509cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----
      saml_sp_private_key: |
        -----BEGIN PRIVATE KEY-----
        Insert private key block of text here
        -----END PRIVATE KEY-----
      saml_sp_public_cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----

[Okta 用 SAML 構成ファイルのサンプル]

次のサンプルのプレースホルダ テキストを、IdP から提供された情報に置き換えます。

name: Okta
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: https://example.com/auth/complete/saml
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
 saml_technical_contact:
   givenName: Name of Your Technical Contact
   emailAddress: email@my_technical_contact.com
saml_support_contact:
  givenName: Name of Your Support Contact
  emailAddress: email@my_support_contact.com
saml_security_config:
  wantAttributeStatement: False
saml_enabled_idps:
  okta:
    entity_id: https://www.okta.com/your_organization_id
    attr_user_permanent_id: Your organization's permanent ID
    attr_email: email@my_email_with_identity_provider.com
    attr_username: Your organization's username for the IdP
    url: https://example.okta.com/app/your_organization_id
    x509cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----
    saml_sp_private_key: |
      -----BEGIN PRIVATE KEY-----
      Insert private key block of text here
      -----END PRIVATE KEY-----
    saml_sp_public_cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----

[Google 用 OIDC 構成ファイルのサンプル]

次のサンプルのプレースホルダ テキストを、IdP から提供された情報に置き換えます。

name: Name of Your Organization
backend: social_core.backends.google_openidconnect.GoogleOpenIdConnect
settings:
  base_uri: example.com
  google_openidconnect_key: your_id.apps.googleusercontent.com
  google_openidconnect_secret: your_secret

コマンド ライン (CLI) からの SSO 構成の更新

CLI から構成の標準を更新するには、次の手順を実行します。

  1. RaaS ユーザーとしてログインします。
    sudo su raas
  2. 構成ファイルを保存したディレクトリに移動します。必要に応じて構成ファイルを更新します。
  3. 次のコマンドを使用して構成ファイルを保存します。
    raas save_sso_config <filepath>

コマンド ライン (CLI) からの SSO 構成の削除

SaltStack Config ユーザー インターフェイスにアクセスできる場合は、ユーザー インターフェイスを使用して SSO 構成を削除することを推奨します。ただし、必要に応じて API (RaaS) を使用して SSO 構成を削除することもできます。

SSO 構成を削除するには、削除する構成に割り当てられている slug を見つける必要があります。slug とは、ダッシュ - マークで区切られたすべて小文字の構成名の表現です。たとえば、slug は name-of-your-organization のようになります。Google を使用した SAML の場合、slug は google です。

  1. API (RaaS) で次のコマンドを使用して SSO バックエンドのリストを生成します。
    client.api.settings.get_sso_backends()
  2. SSO バックエンドのリストから、削除する構成の slug を見つけます。続いて、次のコマンドを入力し、プレースホルダ テキストを構成の slug に置き換えます。
    client.api.settings.delete_sso_config('slug-for-your-configuration')