インストール後のシングル・サインオン用のサーバーの構成
Remote Control サーバーをインストールした後、SAML 2.0 認証をサポートするように構成することができます。
始める前に
このタスクについて
注: Remote Control では、WebSphere Liberty の samlWebSso20 機能によって SSO がサポートされます。デフォルトでは、ID プロバイダーからサービスに返される NameID に、以下の形式の E メール・フィールドが含まれている必要があります。
Liberty で samlWeb-2.0 フィーチャーを有効にすることにより、Liberty サーバーを SAML Web ブラウザー・シングル・サインオン (SSO) サービス・プロバイダーとして構成できます。 URI: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressRemote Control サーバーを構成するには、以下の手順を実行します。
手順
-
以下のディレクトリーに sso.xml ファイルを作成します。
- Windows™ オペレーティング・システム
- C:\Program Files (x86)\BigFix\TRC\server\wlp\usr\servers\trcserver
- Linux™ オペレーティング・システム
- /opt/BigFix/TRC/server/wlp/usr/servers/trcserver
-
以下のコンテンツを sso.xml ファイルに追加します。
<server> <featureManager> }} <feature>samlWeb-2.0</feature>}} </featureManager> }} <samlWebSso20 id="defaultSP" keyStoreRef="samlKeyStore" httpsRequired="true" signatureMethodAlgorithm="SHA256" spHostAndPort="https://[hostname:port]"/> <keyStore id="samlKeyStore" location="[samlKey.file]" password="[yourkeystorepassword]" type="[filetype]"/> </server>- [hostname:port]
- Remote Control サーバーのホスト名および SSL ポートを定義します。例えば、https://example.com:443/ です。
- [samlKey.file]
- 鍵ストア・ファイルへのパスを定義します。例えば、c:\trc\samlKey.jks です。
- [yourkeystorepassword]
- 鍵ストア・ファイルのパスワードを定義します。例えば、password="mypassword" です。
- [filetype]
- 鍵ストア・ファイルのファイル・タイプを定義します。.p12 ファイルの場合は、タイプを PKCS12 に設定します。.jks ファイルの場合は、タイプを JKS に設定します。
さらに構成パラメーターを追加できます。詳しくは、「SAML WEB SSO 2.0 認証 (samlWebSso20)」を参照してください。
デフォルトの構成では、以下の値が使用されます。- AssertionConsumerService URL
- https://<hostname>:<sslport>/ibm/saml20/defaultSP/acs.
- サービス・プロバイダー (SP) メタデータ URL
- https://<hostname>:<sslport>/ibm/saml20/defaultSP/samlmetadata
ここで、<hostname> は Remote Control サーバーのホスト名、<sslport> は SSL ポート値です。例えば、443 です。
-
以下のディレクトリーの application.xml ファイルを編集します。
- Windows™ オペレーティング・システム
- C:\Program Files (x86)\BigFix\TRC\server\wlp\usr\servers\trcserver
- Linux™ オペレーティング・システム
- /opt/BigFix/TRC/server/wlp/usr/servers/trcserver
このファイルに以下の <application-bnd> ステートメントを追加します。<server> <application context-root="/trc" type="ear" id="trcserver" location="TRCAPP.ear" name="trcserver" autoStart="true" > <application-bnd> <security-role name="any-authenticated"> <special-subject type="ALL_AUTHENTICATED_USERS" /> </security-role> </application-bnd> </application> <application context-root="/" type="ear" id="trcredir" location="REDIR.ear" name="trcredir" autoStart="true" /> <applicationMonitor updateTrigger="disabled" dropinsEnabled="false" /> </server> -
ID プロバイダー (IdP) から SAML メタデータ XML ファイルを取得します。
このファイルの取得方法は、IdP によって異なります。ファイルの名前を idpMetadata.xml に変更して、サーバー上の以下のディレクトリーにコピーします。
- Windows™ オペレーティング・システム
- C:\Program Files (x86)\BigFix\TRC\server\wlp\usr\servers\trcserver\resources\security
- Linux™ オペレーティング・システム
- /opt/BigFix/TRC/server/wlp/usr/servers/trcserver/resources/security
-
common.properties ファイルを編集して、sso.enabled を True に設定します。
このファイルは以下のディレクトリーにあります。
- Windows™ システム
- [installdir]\wlp\usr\servers\trcserver\apps\TRCAPP.ear\trc.war\WEB-INF\classes
ここで、[installdir] は、Remote Control サーバーがインストールされているディレクトリーです。
- Linux™ システム
- [installdir]/wlp/usr/servers/trcserver/apps/TRCAPP.ear/trc.war/WEB-INF/classes
ここで、[installdir] は、Remote Control サーバーがインストールされているディレクトリーです。
- Remote Controlサーバーを再始動します。
-
サーバーが再始動した後、以下の URL をブラウザーに入力して、このサービス・プロバイダー (SP)、つまり BigFix® Remote Control サーバー のメタデータをダウンロードします。
https://<hostname>:<sslport>/ibm/saml20/defaultSP/samlmetadata、ここで <hostname> は Remote Control サーバーのホスト名で、<sslport> はサーバーの SSL ポートです。このメタデータを SAML ID プロバイダーに提供して、この SP と ID プロバイダー (IdP) の間の連携を確立します。
タスクの結果
注: SAML 2.0 認証を有効にした後にサーバーの再インストールまたはアップグレードを実行する場合は、開始前に sso.xml ファイルを一時ディレクトリーにコピーする必要があります。アップグレード中にインストールされる sso.xml ファイルをバックアップ・ファイルに置き換えます。また、common.properties ファイルで sso.enabled が True に設定されていることを確認してください。