2.12.1 IDaaS連携を使用した構成システムを構築する手順(Keycloakを使用する場合)
IDプロバイダー(IdP)としてKerycloakを使用して、IDaaS連携を使用した構成システムを構築する手順について説明します。
以下に示すKeycloakの設定を実施した後に、IdPを使用する認証に変更してください。IdPを使用する認証への変更手順の詳細は、「2.12.4 認証方法を変更する手順」を参照してください。
ルート証明書の登録
使用するKeycloakサーバ用のルートCA証明書をJP1/IT Desktop Management 2 - ManagerがインストールされたPCのJavaキーストアに登録する必要があります。
JavaキーストアにこのルートCA証明書を登録する場合は、ルートCA証明書ファイルをダウンロードして、次のコマンドをコマンドプロンプトで実行してください。
JP1/IT Desktop Management 2 - Manager のインストールフォルダ\mgr\uCPSB\jdk\jre\bin\keytool.exe -import -file 証明書ファイル名 -alias エイリアス名(識別用の任意の名前) -keystore JP1/IT Desktop Management 2 - Manager のインストールフォルダ\mgr\uCPSB\jdk\jre\lib\security\cacerts
コマンドを実行するとルート証明書をインポートするためのパスワードを要求されます。パスワードを入力してください。デフォルトのパスワードは「changeit」です。
Javaキーストアに登録後、JP1/IT Desktop Management 2のサービスを再起動してください。
レルムの追加および設定
Keycloakのレルムの設定を変更します。設定項目および設定値を次の表に示します。
|
機能 |
設定項目 |
設定値 |
デフォルト |
|
|---|---|---|---|---|
|
一般 |
レルム名 |
− |
任意のレルム名 |
なし |
|
セッション |
SSO Session Settings |
SSOセッション・アイドル |
連続し管理画面を操作する時間※1 |
30分 |
|
SSOセッション最大 |
任意※2 |
10時間 |
||
(凡例)−:該当なし
注※1 操作画面のセッションタイムアウト時間は最終操作から65分です。ログインからSSOセッション・アイドルに設定された値を経過すると、IdPのセッションが切れるため、短い時間を設定した場合、シームレスログイン時にIdPの再認証が必要となる場合があります。
注※2 SSOセッション・アイドルより長い時間を指定してください。
クライアントの追加および設定
KeycloakのレルムにJP1/IT Desktop Management 2用のクライアントを追加します。設定項目および設定値を次の表に示します。
|
設定項目 |
設定値 |
デフォルト |
||
|---|---|---|---|---|
|
設定 |
General settings |
クライアントタイプ |
OpenID Connect※1 |
OpenID Connect |
|
クライアントID |
任意のID※2 |
なし |
||
|
Access settings※3 |
有効なリダイレクトURI※4 |
http://管理用サーバのホスト名:ポート番号※5/jp1itdm/idaas.jsp |
/* |
|
|
Capability config |
クライアント認証 |
オン |
オフ |
|
|
認可 |
オン |
オフ |
||
|
Authentication flow |
|
|
||
|
クレデンシャル |
クライアント認証 |
Client Id and Secret |
Client Id and Secret |
|
|
クライアント・シークレット |
自動生成された値※6 |
クライアントシークレット値 |
||
注※1 クライアントを追加する時だけ設定できます。
注※2 IDaaS連携用設定ファイル(jdn_idaas_auth.conf)のクライアントID「param.auth_code.client_id」および「param.ropc.client_id」に指定します。
注※3 クライアントを追加する時は「Login settings」ステップの名称です。
注※4 複数のJP1/IT Desktop Management 2 - ManagerのURIを追加する場合は、クライアントの設定で追加のURIを設定してください。
注※5 デフォルトのポート番号は31080です。JP1/IT Desktop Management 2 - Managerのセットアップ画面で「管理者のコンピュータからの接続受付ポート」に設定したポート番号をURLに指定してください。
注※6 IDaaS連携用設定ファイル(jdn_idaas_auth.conf)のクライアントシークレット「param.auth_code.client_secret」および「param.ropc.client_secret」に、本項目値を難読化して指定します。
注意事項
ログイン時の認証方法は認証フローで指定してください。クライアントにデフォルトで設定されているフローを次の表に示します。
|
フロー |
デフォルトのフロー |
備考 |
|
|---|---|---|---|
|
認証フロー |
ブラウザーフロー |
Built-inの「browser」フロー |
操作画面のログインで使用するフロー |
|
ダイレクトグラントフロー |
Built-inの「direct grant」フロー |
リモートインストールマネージャ、パッケージャ、およびネットワーク制御コマンドで使用するフロー |
|
認証フローは運用に応じてカスタマイズできます。ただし、リモートインストールマネージャ、パッケージャ、およびネットワーク制御コマンドを使用する場合、ダイレクトグラントフローのカスタマイズはせずにデフォルトのフローを設定してください。