2.7 外部IdP連携の設定

外部IdP(Identity Provider)連携によるシングルサインオンの概要とその設定について説明します。
Ops Iと外部IdP間の認証プロバイダーは以下をサポートします。

  • OIDC(OpenID Connect)
  • SAML(Security Assertion Markup Language)

外部IdP連携によるシングルサインオンにより、外部のアプリケーションのユーザーでOps Iにログインして操作することが可能になり、外部のアプリケーションとOps Iのシームレスな連携を実現します。

外部IdP連携においてOps I側の設定はOps Iセキュリティ管理者、外部IdP側の設定は外部IdP管理者が実施します。Ops Iセキュリティ管理者はPre-Installedロールの「System Security Administrator」またはPrimitiveロールの「user_admin」が割り当てられたユーザーです。



(1)外部IdP連携の構成

外部IdP連携の構成を以下に示します。

【OIDCの場合の構成】

OIDCの場合、VPN構成かVPN構成でないかの2つの構成があります。
OIDCの設定については「OIDCの接続設定手順」を参照してください。OIDCの接続設定時には、外部IdPユーザーの属性情報とOps Iユーザーの属性情報、グループ、またはロールのマッピングが必要です。マッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。

  • VPN構成にしない場合
    連携できる外部IdPはインターネット上に公開されている必要があります。
    また、Ops Iとの外部IdPとの通信ができるようにアウトバウンド通信の許可が必要です。

    (図)OIDCの構成:VPN構成にしない (図)OIDCの構成:VPN構成にしない

  • VPN構成にする場合
    VPNを通して通信可能な範囲に外部IdPが存在している必要があります。

    (図)OIDCの構成:VPN構成 (図)OIDCの構成:VPN構成

【SAMLの場合の構成】

Ops IのSAML認証ではSP initialized SSOをサポートします。
ブラウザーが外部IdPと通信可能である必要があります。SAMLの場合、ブラウザーとOps I、ブラウザーと外部IdPというように、Ops Iと外部IdPが直接通信することはないので、アウトバウンド通信の許可は不要です。
SAMLプロバイダーの設定については「SAMLの接続設定手順」を参照してください。SAMLの接続設定時には、外部IdPユーザーの属性情報とOps Iユーザーの属性情報、グループ、またはロールのマッピングが必要です。マッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。

(図)SAMLの構成 (図)SAMLの構成

(2)ログイン/ログアウト

外部IdP連携を使用してログインする場合、外部IdPとOps Iどちらからログインするか、ユーザーが外部IdPと連携済みか否かなどの条件によって、ログインの操作が異なります。
ログイン/ログアウトの詳細については「ログイン/ログアウト」を参照してください。
外部IdP連携によるシングルサインアウトには対応していません。



(3)Ops Iユーザーと外部IdPユーザーの関連

外部IdP連携では、複数の種類の外部IdPを作成して使用することができます。
Ops Iのユーザーは、外部IdPごとに1つのユーザーと関連づけることが可能です。Ops Iの1つのユーザーを、同一の外部IdP内に存在する複数のユーザーに関連づけることはできません。

(図)Ops Iユーザーと外部IdPユーザーの関連

Ops Iユーザーと外部IdPユーザーの関連 Ops Iユーザーと外部IdPユーザーの関連



(4)外部IdPと連携済みユーザーの削除

外部IdPでユーザーを削除した場合、そのユーザーと連携しているOps IのユーザーはOps Iから削除されません。連携しているOps IのユーザーをOps Iから削除する場合は、Ops Iセキュリティ管理者が手動でOps Iから削除してください。Ops Iユーザーの削除については「ユーザーの削除」を参照してください。



(5)外部IdPと連携済みユーザーのOps Iパスワードの変更/削除/再設定

外部IdPと連携済みユーザーのOps Iパスワードの削除と再設定について説明します。

【外部IdPと連携済みユーザーのOps Iパスワードの変更】

外部IdPでログインしているユーザーは、Ops Iパスワードの変更は行えません。そのため、外部IdPでOps Iにログインした場合は、[アカウント管理]メニューが表示されません。
[アカウント管理]の詳細については「アカウント管理」を参照してください。

【外部IdPと連携済みユーザーのOps Iパスワードの削除】

Ops Iパスワードの削除は、Ops Iセキュリティ管理者が[ユーザー詳細]画面で実施します。
Ops Iパスワードの削除は、外部IdPと連携しているユーザーに対してのみ行えます。外部IdPからのログインしか行わない場合、Ops Iパスワードを削除しておくことで、パスワードポリシーによる定期的なパスワードの更新が不要になります。
Ops Iパスワードを削除した場合は、Ops Iに直接ログインできなくなります。
[ユーザー詳細]画面の詳細については「ユーザーの詳細情報確認」を参照してください。

【外部IdPと連携済みユーザーのOps Iパスワードの再設定】

外部IdPと連携しているOps IユーザーのOps Iパスワードを削除または初期化した場合の、Ops Iパスワードの再設定は、実施するユーザーによって異なります。以下に実施するユーザーと方法を示します。

  • Ops Iセキュリティ管理者の場合
    パスワードを再設定するユーザーの[ユーザー詳細]画面で、パスワードを初期化します。パスワードを初期化すると、そのユーザーにパスワードの再入力を促すメールが送付されます。そのメールの指示に従って操作することでパスワードを再設定することができます。
  • Ops Iパスワードを再設定するユーザー自身の場合
    Ops Iログイン画面で「パスワードをお忘れですか?」をクリックすると、パスワードを初期化したときと同様にパスワードの再入力を促すメールが送付されるので、そのメールの指示に従って操作することでパスワードを再設定することができます。

[ユーザー詳細]画面の詳細については「ユーザーの詳細情報確認」を参照してください。



節構成

2.7.1 OIDCの接続設定手順
2.7.2 SAMLの接続設定手順
2.7.3 属性/グループ/ロールのマッピング
2.7.4 ログイン/ログアウト