アイデンティティ・フェデレーションの構成

アイデンティティ・プロバイダとしてのActive Directoryの追加

1. サービスWeb UIにサインインします。

2. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

3. 「アイデンティティ・プロバイダ」ページで、「アイデンティティ・プロバイダの作成」をクリックします。

4. 「アイデンティティ・プロバイダの作成」ページで、次の情報を指定します。

   • 表示名

     サービスWeb UIへのサインインに使用するアイデンティティ・プロバイダを選択する際にフェデレーテッド・ユーザーに表示される名前。この名前は、すべてのアイデンティティ・プロバイダ間で一意である必要があり、変更できません。

   • 説明

     アイデンティティ・プロバイダのわかりやすい説明。

   • 認証コンテキスト

     「クラス参照の追加」をクリックし、リストから認証コンテキストを選択します。

     1つ以上の値が指定されている場合、Roving Edge (リライイング・パーティ)は、ユーザーの認可時に、指定された認証メカニズムの1つを使用することをアイデンティティ・プロバイダにリクエストします。アイデンティティ・プロバイダから戻されたSAMLレスポンスには、その認証コンテキスト・クラス参照とともに認証ステートメントが含まれている必要があります。SAMLレスポンス認証コンテキストがここで指定された内容と一致しない場合、Roving Edge認証サービスは400でSAMLレスポンスを否認します。

   • アサーションの暗号化(オプション)

     有効にすると、認可サービスはアイデンティティ・プロバイダからの暗号化されたアサーションを想定します。アサーションを復号化できるのは認可サービスのみです。有効にしない場合、認可サービスはSAMLトークンを暗号化せずにSSLで保護することを想定しています。

   • 強制認証(オプション)

     有効にすると、ユーザーは、認可サービスによってリダイレクトされたときに常にアイデンティティ・プロバイダで認証を求められます。有効にしない場合、ユーザーはアイデンティティ・プロバイダとのアクティブなログイン・セッションがすでにあるかどうかを再認証するよう求められません。

   • メタデータURL

     アイデンティティ・プロバイダからのFederationMetadata.xmlドキュメントのURLを入力します。

     デフォルトでは、ADFSのメタデータ・ファイルはhttps://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xmlにあります。

5. 「アイデンティティ・プロバイダの作成」をクリックします。

   新しいアイデンティティ・プロバイダにOCIDが割り当てられ、「アイデンティティ・プロバイダ」ページに表示されます。

アイデンティティ・プロバイダを追加した後、Roving EdgeとActive Directoryの間のグループ・マッピングを設定する必要があります。アイデンティティ・プロバイダのグループ・マッピングの管理を参照してください。

アイデンティティ・プロバイダの更新

1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

   アイデンティティ・プロバイダーのリストが表示されます。

2. 更新するアイデンティティ・プロバイダに対して、「アクション」アイコン(3つのドット)をクリックし、「編集」をクリックします。

3. 次のいずれかの情報を変更します。ただし、この情報を変更するとフェデレーションに影響する可能性があることに注意してください。

   • 説明

   • 認証コンテキスト

     クラス参照を追加または削除します。

   • アサーションの暗号化

     アイデンティティ・プロバイダから暗号化されたアサーションを有効または無効にします。

   • 強制認証

     アイデンティティ・プロバイダからのリダイレクト認証を有効または無効にします。

   • メタデータURL

     アイデンティティ・プロバイダからの新しいFederationMetadata.xmlドキュメントのURLを入力します。

4. 「アイデンティティ・プロバイダの更新」をクリックします。

アイデンティティ・プロバイダおよび構成の詳細の表示

アイデンティティ・プロバイダの詳細ページには、認証コンテキストなどの一般情報が表示されます。また、リダイレクトURLを含むアイデンティティ・プロバイダの設定も提供します。このページから、アイデンティティ・プロバイダを編集し、グループ・マッピングを管理することもできます。

1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

2. 詳細を表示するアイデンティティ・プロバイダについて、「アクション」アイコン(3つのドット)をクリックし、「詳細の表示」をクリックします。

   「アイデンティティ・プロバイダの詳細」ページが表示されます。

アイデンティティ・プロバイダの削除

フェデレーテッド・ユーザーがRoving Edgeにログインするためのオプションを削除する場合は、アイデンティティ・プロバイダを削除する必要があります。これにより、関連付けられたすべてのグループ・マッピングも削除されます。

1. ナビゲーション・メニューを開いて、「Identity」をクリックし、「Federation」をクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

2. 削除するアイデンティティ・プロバイダに対して、「アクション」アイコン(3つのドット)をクリックし、「削除」をクリックします。

3. 「アイデンティティ・プロバイダの削除」プロンプトで、「確認」をクリックします。

グループ・マッピングの作成

マップするアイデンティティ・プロバイダ・グループごとに次のステップを実行します。

1. ナビゲーション・メニューを開き、「IDPグループ・マッピング」をクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 「Create Group Mapping (グループ・マッピングの作成)」をクリックします。

   IDPグループ・マッピング・フォームが表示されます

3. 「名前」フィールドに、IDPグループ・マッピングの名前を入力します。

4. 「IDPグループ名」フィールドに、アイデンティティ・プロバイダ・グループの正確な名前を入力します。

5. 「管理グループ名」リストから、アイデンティティ・プロバイダ・グループにマップするプライベート・クラウド・アプライアンス・グループを選択します。

6. オプションで、グループの「説明」を入力します。

7. 「IDPグループ・マッピングの作成」をクリックします。

   リストに新しいグループ・マッピングが表示されます。

グループ・マッピングの更新

1. ナビゲーション・メニューを開き、「IDPグループ・マッピング」をクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 更新するグループ・マッピングに対して、「アクション」アイコン(3つのドット)をクリックし、「編集」をクリックします。

   IDPグループ・マッピング・フォームが表示されます。

3. 次のいずれかのフィールドを変更します。ただし、この情報を変更するとフェデレーションに影響する可能性があることに注意してください。

   • 名前

   • IDPグループ名

   • 管理者グループ名

   • 摘要

4. 「Modify IDP Group Mapping」をクリックします。

   更新されたグループ・マッピングがリストに表示されます。

グループ・マッピングの削除

1. ナビゲーション・メニューを開き、「IDPグループ・マッピング」をクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 削除するグループ・マッピングについて、「アクション」アイコン(3つのドット)をクリックし、「削除」をクリックします。

3. 「Delete IDP Group Mapping」プロンプトで、「Confirm」をクリックします。