シングル・サインオンの設定

このタスクについて

シングル・サインオンを使用したユーザーの認証

BigFix Compliance では、以下を使用してユーザー認証にシングル・サインオン (SSO) がサポートされます。

Security Assertion Markup Language (SAML)
Lightweight Third-Party Authentication (LTPA)

「シングル・サインオン設定」ページを開くには、設定の歯車アイコンに移動し、リストから「シングル・サインオン設定」をクリックします。

SAML シングル・サインオンの設定

以下のステップに従って、Active Directory Federation Services (ADFS) を使用して、システムの SAML シングル・サインオンを設定します。

始める前に

ID プロバイダー (IdP) から次の情報を取得します。
- ログイン URL
- トークン署名証明書
- 信頼できる発行者
次の .xml ファイルのバックアップ:
- <Install Dir>\wlp\usr\servers\server1\server.xml
- <Install Dir>\wlp\usr\servers\server1\app\tema.war\web.xml
サーバー設定でシングル・サインオンを有効にする場合は、少なくとも 1 人のシングル・サインオン・ユーザーを作成する必要があります。シングル・サインオンを有効にする前に、次の操作を行う必要があります。
- 「管理」 > 「ユーザー」「管理」 > 「ユーザー」からシングル・サインオン・ユーザーを作成します。オペレーターは、管理者役割を持ち、認証方法としてシングル・サインオンを指定するユーザーを少なくとも 1 人作成する必要があります。
- 既存のユーザーの認証方法をシングル・サインオンに変更することを検討してください。
- 必要に応じてユーザー・プロビジョニング・ルールを作成する (オプション)

注: ユーザー・プロビジョニングのユーザー名の形式は、User-Principal-Name (またはドメインなしの SAM-Account-Name) である必要があります。シングル・サインオンでのユーザー・プロビジョニングは、ディレクトリー・サーバーで示される設定に関連付けられます。

手順

BigFix Compliance に管理者としてログインします (FQDN URL を使用)。
BigFix Compliance サーバーで、管理者権限を持つ SSO ユーザーを作成します。
1. 「管理」 > 「ユーザー」に移動します。「ユーザーの作成」をクリックします。
2. ユーザー名を入力します。ユーザー名の形式は、ADFS でにおける依拠当事者信頼の要求規則の名前 ID 形式に関連しています。ユーザー名の形式が LDAP 属性の形式に従っていることを確認します。
  User-Principal-Name
  ユーザー名の形式は <user>@<domain name> です。
  例: user01@bigfix.local
  
  SAM-Account-Name
  ユーザー名の形式は、ドメイン部分なしの <user> です。
  例:user01
  
  電子メール・アドレス
  ユーザー名は、ユーザーのプロファイルの電子メール・アドレスです。
  例:user01@bigfix.local
3. 管理者役割を確認します。
  
  注: 少なくとも 1 人のシングル・サインオン・ユーザーが管理者役割を持っている必要があります。
4. 必要に応じて、コンピューター・グループを指定します (管理者には該当しません)。
5. 認証方法として「シングル・サインオン」を選択します。
6. 電子メール・アドレスと連絡先情報を入力します (オプション)。
7. 「作成」をクリックします。
ユーザー・プロビジョニングを使用する場合は、以下のステップに従います。
1. 「管理」 > 「ディレクトリー・サーバー」でエントリーを作成して、ディレクトリー・サーバーを追加します(「ディレクトリー・サーバー」のセクションを参照)。
2. 「管理」 > 「ユーザー・プロビジョニング」でユーザー・プロビジョニング・ルールを構成します。シングル・サインオンが有効な場合、プロビジョニングされたすべてのユーザーの認証方法はシングル・サインオンです(「ユーザー・プロビジョニング」のセクションを参照)。
SAML 構成エントリーを作成します。
1. 「新規」をクリックします。
2. シングル・サインオンの方法として「SAML」を選択します。
3. 以下のフィールドに値を入力します。
  - ログイン・ページ URL: ログイン・ページ URL を入力します。https://<ADFS_hostname>/adfs/ls/IdPInitiatedSignOn.aspx?LoginToRP=https://<SCA_hostname>:9081/ibm/saml20/defaultSP
  - ID プロバイダーの証明書: ID プロバイダーの証明書を参照して選択します。この証明書は、DER/Base64 encoded X.509 で ADFS からエクスポートされたトークン署名証明書のことです。
  - 信頼できる発行者: 信頼できる発行者を入力します。http://<ADFS_hostname>/adfs/services/trust
4. 「保存」をクリックします。
5. Bigfix Compliance サービスを再起動します。
サービス・プロバイダーのメタデータをダウンロードし、ID プロバイダーでサービス・プロバイダーの詳細を構成します。リンクからサービス・プロバイダーのメタデータ・ファイル spMetadata.xml をダウンロードします。
1. BigFix Compliance にログインし、「管理」 > 「シングル・サインオン設定」に移動します。
2. 「SP メタデータのダウンロード」リンクをクリックして、サービス・プロバイダーのメタデータ・ファイル、spMetadata.xml をクリックします。
  注: SAML SSO エントリーの作成時には、「削除」ボタンと「SP メタデータのダウンロード」リンクのみ使用可能になります。ダウンロード・リンクが有効になっていない場合は、次の手順を実行します。
  1. フォルダー C:\Program Files\IBM\SCA\wlp\usr\servers\server1\apps\tema.war\WEB-INF\config\ または BigFix Compliance のインストール・パスを開きます。
  2. options.cfg.sample ファイルをコピーし、フォルダーに options.cfg として保存します。
  3. options.cfg ファイルを開いて、以下の行を見つけます。#platform.sso.saml.metadata.link.ssl.verify=false.
  4. コードから # を削除し、ファイルを保存します。
  5. Compliance サービスを再起動します。
  6. もう一度ログインし、ダウンロード・リンクが有効になっているかどうかを確認します。
  spMetadata.xml がダウンロードされたら、メタデータ・ファイルを使用して ADFS 管理の証明書利用者信頼を構成します。
  1. 「ADFS 管理」で、「証明書利用者信頼」に移動し、「証明書利用者信頼の追加」をクリックします。
  2. 「開始」をクリックして、「証明書利用者に関するデータのファイルからのインポート」を選択します。
  3. 「参照」をクリックして spMetadata.xml ファイルを指定し、「次へ」をクリックします。
  4. 表示名 (例えば、Compliance) を指定し、「次へ」をクリックします。
  5. 「次へ」を最後までクリックして、「閉じる」をクリックします。
  6. 「要求規則の編集」ウィンドウで、「規則の追加」をクリックし、「次へ」をクリックします。
  7. 「名前 ID」などの要求規則名を入力します。
  8. 属性ストアとして「Active Directory」を選択します。
  9. 「User-Principal-Name」を「LDAP 属性」として選択し、「名前 ID」を「発信要求タイプ」として選択します。
  10. 「完了」をクリックします。
  ADFS を構成したら、BigFix Compliance で SSO を引き続き有効にします。そのため、「管理」 > 「シングル・サインオン」ページで、次のようにします。
3. 「有効化」をクリックします。
4. Bigfix Compliance サービスを再起動します。
サービスが再起動されると、BigFix Compliance のログイン・ページは、ID プロバイダーのログイン・ページにリダイレクトされます。資格情報を入力します。認証が成功すると、BigFix Compliance のランディング・ページ (「セキュリティ構成の概要」ページ) にリダイレクトされます。

システムに対する LTPA シングル・サインオンの構成

このタスクについて

IBM Security Access Manager for Web (ISAM) を使用してシステムに対して Lightweight Third-Party Authentication (LTPA) SSO をセットアップするには、以下のステップを実行します。

始める前に

注: シングル・サインオンが有効になると、シングル・サインオン・ユーザーのみが BigFix Compliance Analytics にログインできます。ログイン・アクセスの問題を回避するには、ローカル管理者ユーザーを除くすべての既存のユーザーをシングル・サインオン・ユーザーに変換する必要があります。

サーバー設定でシングル・サインオンを有効にする場合は、既存のシングル・サインオン・ユーザーが必要です。シングル・サインオンを有効にする前に、次の操作を行う必要があります。

ISAM サーバー、ディレクトリー・サーバー、およびコンプライアンス・サーバーの特定
次の .xml ファイルのバックアップ:
- <Install Dir>/wlp/usr/servers/server1/server.xml
- <Install Dir>/wlp/usr/servers/server1/app/tema.war/web.xml
「管理」 > 「ユーザー」からシングル・サインオン・ユーザーを作成します。オペレーターは、管理者役割を持つシングル・サインオン・ユーザーを少なくとも 1 人作成する必要があります。
ユーザー・プロビジョニング・ルールを作成します。

手順

BigFix Compliance にログインし、「管理」 > 「ディレクトリー・サーバー」に移動します。
シングル・サインオン認証用のディレクトリー・サーバー・エントリーを作成します(ディレクトリー・サーバーの追加方法については、「ディレクトリー・サーバー」のセクションを参照してください)。
「管理」 > 「ユーザー」に移動して、シングル・サインオン・ユーザーを作成します。
1. 「管理」 > 「ユーザー」に移動します。「ユーザーの作成」をクリックします。
2. ディレクトリー・サーバーに登録されているユーザー名を入力します。
3. 管理者役割を確認します (少なくとも 1 人のシングル・サインオン・ユーザーが管理者役割を持っている必要があります)。
4. 必要に応じて、コンピューター・グループを指定します (管理者には該当しません)。
5. 認証方法として「シングル・サインオン」を選択します。
6. 電子メール・アドレスと連絡先情報を入力します (オプション)。
7. 「作成」をクリックします。
LTPA 構成エントリーを作成します。
1. 「管理」 > > 「シングル・サインオン設定」に移動します。
2. シングル・サインオンの方法として「LTPA」を選択します。
3. ステップ 2 で作成したディレクトリー・サーバーを選択します。
4. ディレクトリー・サーバーが SSL オプションで構成されている場合は、「参照」をクリックしてディレクトリー・サーバーの証明書をアップロードします。
5. 「保存」をクリックします。
Compliance サービスを再起動します。
Compliance から LTPA キーをダウンロードします。
1. 「シングル・サインオン設定」ページにもう一度ログインします。
2. 「LPTA キーのダウンロード」リンクをクリックして、ltpa.keys を保存します。
Compliance のサーバー証明書と LTPA キーを使用して、ISAM 上にリバースプロキシ/仮想ジャンクションを設定します (詳細は、https://help.hcltechsw.com/bigfix/10.0/inventory/Inventory/security/t_configuring_sso_isam.htmlを参照 )。
Compliance でシングル・サインオンを有効にします。
1. 「シングル・サインオン設定」ページにもう一度ログインします。
2. 「有効化」をクリックします。
Compliance サービスを再起動します。
ISAM の仮想ホスト/url (https://<virtual_host>/sca など) による Compliance へのアクセス