ステップ 1:BigFix Inventory でのシングル・サインオン設定の構成

最初のステップとして、BigFix Inventory でシングル・サインオン設定を構成します。

始める前に

必要な情報の収集
構成を開始する前に、以下の情報を収集します。
  • ID プロバイダーのログイン・ページの URL。これは、非認証要求のリダイレクト先の URL です。要求が ID プロバイダーによって認証されると、ユーザーは、BigFix Inventory にリダイレクトされます。

    例:https://ADFS_host_name/adfs/ls/IdPInitiatedSignOn.aspx?LoginToRP=https://BFI_host_name:9081/ibm/saml20/defaultSP.

  • 信頼できる発行者の URL。これは、信頼関係を確立するために必要な ID プロバイダーの証明書発行者の URL です。

    例えば、http://ADFS_host_name/adfs/services/trust です。

  • key_name.cer というフォーマットの、ID プロバイダーのパブリック証明書。
SSL を有効にする
BigFix Inventory および ID プロバイダーで SSL が有効になっていることを確認します。
ファイルのバックアップ
シングル・サインオンの構成を開始する前に、以下のファイルをバックアップします。
  • server.xml
    • Linux bfi_install_dir/wlp/usr/servers/server1
    • Windows bfi_install_dir\wlp\usr\servers\server1
  • web.xml
    • Linux bfi_install_dir/wlp/usr/servers/server1/apps/tema.war/WEB-INF
    • Windows bfi_install_dir\wlp\usr\servers\server1\apps\tema.war\WEB-INF
注: シングル・サインオンのセッション・タイムアウトをセットアップした場合、それが、BigFix Inventory でセットアップされているセッション・タイムアウトより長くなければならないことに留意してください。そうなっていない場合は、BigFix Inventory で設定を変更してください。詳しくは、こちらを参照してください:セッション・タイムアウトの設定
ユーザーの作成
シングル・サインオンを使用する BigFix Inventory ユーザーを作成します。ユーザーの作成時に、認証方法として「シングル・サインオン」を選択します。すべてのユーザー名が、完全なドメイン・ネームを含む完全修飾名であることを確認します。例:user@domain.example。また、少なくとも 1 人のユーザーが管理者であることを確認します。

LinuxBigFix Inventory サーバーが Linux にインストールされていて、ID プロバイダーのユーザーがキャメル・ケース命名規則を使用している場合、BigFix Inventory でも同じ規則に従ってユーザーを作成します。そうしないと、ユーザーは、監査スナップショットを生成できません。

注: シングル・サインオン・ユーザーの作成後はユーザー・トークンを使用できません。REST API 呼び出しを行う場合などにトークンが必要な場合は、BigFix Inventory の管理者にトークンを提供するよう依頼してください。

手順

  1. BigFix Inventory にログインし、「管理」 > 「シングル・サインオン設定」をクリックします。
  2. シングル・サインオンの方法として「SAML」を選択します。

    「インスタンス ID」フィールドには、defaultSP 値が自動的に入ります。これは、BigFix Inventory サービスの ID です。BigFix Inventory URL とともに、サービス・プロバイダー ID 全体を形成します。https://BFI_host_name:BFI_port/ibm/saml20/defaultSP.

    この値に基づいて、SAML アサーション・コンシューマー・サービス URL が作成されます。https://BFI_host_name:BFI_port/ibm/saml20/defaultSP/acs. この URL は、ID プロバイダーの構成で使用する必要があります。

  3. BigFix Inventory へのシングル・サインオンに使用する ID プロバイダーのログイン・ページの URL を指定します。
    例:
    https://ADFS_host_name/adfs/ls/IdPInitiatedSignOn.aspx?LoginToRP=https://BFI_host_name:9081/ibm/saml20/defaultSP
    重要: 正しい URL を指定するようにしてください。アドレスは検証されません。URL にタイプミスがあると、手動で SSO 構成を元に戻すことが必要になる場合があります。
  4. ID プロバイダーのパブリック証明書を指定します。「参照」をクリックして、作成済みの key_name.cer 証明書の場所を特定します。
  5. ID プロバイダーの証明書発行者の URL を指定します。これは、SAML アサーションに表示される ID プロバイダーの発行者名です。
    例:
    http://ADFS_host_name/adfs/services/trust
    重要: 正しい URL を指定するようにしてください。アドレスは検証されません。URL にタイプミスがあると、手動で SSO 構成を元に戻すことが必要になる場合があります。
  6. 「保存」をクリックします。
  7. オプション: SSO 設定にカスタム証明書を使用するには、以下を参照してください。SAML に基づく SSO に CA 署名 (カスタム) 証明書を使用する。そうでなければ、次のステップに進みます。
  8. 「サービス・プロバイダー・メタデータのダウンロード」リンクをクリックし、spMetadata.xml ファイルを保存します。
    注: SAML シングル・サインオンのエントリーの作成時には、「削除」ボタンと「サービス・プロバイダー・メタデータのダウンロード」リンクのみ使用可能になります。ダウンロード・リンクが表示されない場合は、BigFix Inventory サーバーを再始動します。

次のタスク

spMetadata.xml ファイルに基づいて、シングル・サインオンのための ID プロバイダーの構成を行います。