ステップ 1: BigFix Inventory でのシングル・サインオン設定の構成

最初のステップとして、BigFix Inventory でシングル・サインオン設定を構成します。

始める前に

必要な情報の収集
構成を開始する前に、以下の情報を収集します。
  • ID プロバイダーのログイン・ページの URL。これは、非認証要求のリダイレクト先の URL です。要求が ID プロバイダーによって認証されると、ユーザーは、BigFix Inventory にリダイレクトされます。
    例:
    • ADFS: https://<ADFS_hostname>/adfs/ls/IdPInitiatedSignOn.aspx?LoginToRP=https://BFI_host_name:9081/ibm/saml20/defaultSP
    • ENTRA ID: https://launcher.myapps.microsoft.com/api/signin/<APPICATION ID / GUID>?tenantId=<TENANT ID / GUID>
  • 信頼できる発行者の URL。これは、信頼関係を確立するために必要な ID プロバイダーの証明書発行者の URL です。
    例:
    • ADFS: http://ADFS_host_name/adfs/services/trust
    • ENTRA ID: https://sts.windows.net/<TENANT ID / GUID>/
  • key_name.cer というフォーマットの、ID プロバイダーのパブリック証明書。
SSL の有効化
BigFix Inventory および ID プロバイダーで SSL が有効になっていることを確認します。
ファイルのバックアップ
シングル・サインオンの構成を開始する前に、以下のファイルをバックアップします。
  • server.xml
    • Linux bfi_install_dir/wlp/usr/servers/server1
    • Windows bfi_install_dir\wlp\usr\servers\server1
  • web.xml
    • Linux bfi_install_dir/wlp/usr/servers/server1/apps/tema.war/WEB-INF
    • Windows bfi_install_dir\wlp\usr\servers\server1\apps\tema.war\WEB-INF
注: シングル・サインオンのセッション・タイムアウトをセットアップした場合、それが、BigFix Inventory でセットアップされているセッション・タイムアウトより長くなければならないことに留意してください。そうなっていない場合は、BigFix Inventory で設定を変更してください。詳しくは、「セッション・タイムアウトの設定」を参照してください。
ユーザーの作成
シングル・サインオンを使用するユーザーのために BigFix Inventory ユーザーを作成します。ユーザーの作成時に、認証方法として「シングル・サインオン」を選択します。すべてのユーザー名が、完全なドメイン・ネームを含む完全修飾名 (例: user@domain.example) であることを確認します。また、1 人以上のユーザーが管理者であることを確認します。

Linux BigFix Inventory サーバーが Linux にインストールされていて、ID プロバイダーのユーザーがキャメル・ケース命名規則を使用している場合、BigFix Inventory でも同じ規則に従ってユーザーを作成します。作成しない場合、ユーザーは監査スナップショットを生成できません。

注: シングル・サインオン・ユーザーの作成後はユーザー・トークンを使用できません。REST API 呼び出しを行う場合などにトークンが必要な場合は、BigFix Inventory の管理者にトークンを提供するよう依頼してください。

手順

  1. BigFix Inventory にログインし、「管理」 > 「シングル・サインオン設定」をクリックします。
  2. シングル・サインオンの方法として「SAML」を選択します。

    「インスタンス ID」フィールドには、defaultSP 値が自動的に入ります。これは、BigFix Inventory サービスの ID です。BigFix Inventory URL とともに、サービス・プロバイダー ID 全体を形成します。https://BFI_host_name:BFI_port/ibm/saml20/defaultSP

    この値に基づいて、SAML アサーション・コンシューマー・サービス URL が作成されます。https://BFI_host_name:BFI_port/ibm/saml20/defaultSP/acs。この URL は、ID プロバイダーの構成で使用する必要があります。

  3. BigFix Inventory へのシングル・サインオンに使用する ID プロバイダーのログイン・ページの URL を指定します。
    例:
    • ADFS: https://<ADFS_hostname>/adfs/ls/IdPInitiatedSignOn.aspx?LoginToRP=https://BFI_host_name:9081/ibm/saml20/defaultSP
    • ENTRA ID: https://launcher.myapps.microsoft.com/api/signin/<APPICATION ID / GUID>?tenantId=<TENANT ID / GUID>
    重要: 正しい URL を指定するようにしてください。アドレスは検証されません。URL にタイプミスがあると、手動で SSO 構成を元に戻すことが必要になる場合があります。
  4. ID プロバイダーのパブリック証明書を指定します。「参照」をクリックして、作成済みの key_name.cer 証明書の場所を特定します。
  5. ID プロバイダーの証明書発行者の URL を指定します。これは、SAML アサーションに表示される ID プロバイダーの発行者名です。
    例:
    • ADFS: http://ADFS_host_name/adfs/services/trust
    • ENTRA ID: https://sts.windows.net/<TENANT ID / GUID>/
    重要: 正しい URL を指定するようにしてください。アドレスは検証されません。URL にタイプミスがあると、手動で SSO 構成を元に戻すことが必要になる場合があります。
  6. 「保存」をクリックします。
  7. オプション: SSO 設定にカスタム証明書を使用するには、以下を参照してください。SAML に基づく SSO に CA 署名 (カスタム) 証明書を使用する。そうでなければ、次のステップに進みます。
  8. 「サービス・プロバイダー・メタデータのダウンロード」リンクをクリックし、spMetadata.xml ファイルを保存します。
    注: SAML シングル・サインオンのエントリーの作成時には、「削除」ボタンと「サービス・プロバイダー・メタデータのダウンロード」リンクのみ使用可能になります。ダウンロード・リンクが表示されない場合は、BigFix Inventory サーバーを再始動します。