BigFix と SAML V2.0 との統合の仕組み
SAML V2.0 との統合では、passport-saml 認証プロバイダーを使用して、ID プロバイダー (IdP) が開始した認証とサービス・プロバイダー (SP) が開始した認証の両方に対応します。
SAML をサポートするどの BigFix ユーザー・インターフェースについても、SAML の使用および要求は WebUI コンポーネントによって管理されます。
SAML との統合を構成する方法は、以下のように計画している使用法によって異なります。
- SAML 認証を Web レポートおよび BigFix コンソールでのみ使用して、どの WebUI アプリケーションでも使用する必要がない場合は、WebUI を SAML 専用モードで開始できます。この SAML 構成では、リソース消費量を最小限に抑えることができます。この構成のセットアップ方法について詳しくは、「SAML 専用モードでの WebUI の有効化」を参照してください。
- WebUI コンポーネントの完全なセットまたは WebUI ETL 処理を含む、すべてのBigFix ユーザー・インターフェースで SAML 認証を使用するには、BigFix バージョン 9.5.5 以降を使用している場合は WebUI のインストールに記載されている手順に従います。
BigFix 環境で 1 つの LDAP サーバーをユーザー・リポジトリーとして使用している場合、ユーザー・プロビジョニングはこの統合による影響を受けません。管理者は引き続き、BigFix サービスを使用する権限を与えるために、オペレーターおよび役割を定義します。ご使用の BigFix 環境のオペレーターが複数の LDAP サーバーで定義されている場合は、前提事項と要件に記載されている情報をよくお読みください。
SAML 2.0 と統合した場合、既存の監査シナリオは維持され、server_audit.log ファイルに SAML 認証のユーザー・エントリーが含まれます。
以下のサンプル・ユース・ケースを確認してください。
- ユーザーが BigFix にサービスを要求します。例えば、Web UI、Web レポート、または BigFix コンソールを使用して、ページにアクセスしたり、ログインを試行したりします。
- BigFix は、LDAP を基盤とした SAML ID プロバイダーに ID アサーションを要求します。
- ID アサーションを配信する前に、LDAP を基盤とした SAML ID プロバイダーは、何らかのユーザー認証情報、例えば、ユーザー名とパスワードや、別の形式の認証 (多要素認証 を含む) を要求する可能性があります。ディレクトリー・サービス (LDAP や Active Directory など) は、ID プロバイダーでの代表的な認証トークンのソースです。
- ID プロバイダーが提供するID アサーションに基づいて、BigFix は、そのユーザーによって要求されたサービスを実行するかどうかを決定します。
- 認証情報は維持され、割り当てられた許可に応じて、ユーザーが BigFix によって提供されるサービスに自動でアクセスできるようにするために使用されます。