2.7 IdP連携の設定

IdP(Identity Provider)連携によるシングルサインオンの概要とその設定について説明します。
Ops IとIdP間の認証に使用するプロトコルは以下をサポートします。

  • OIDC(OpenID Connect)
  • SAML(Security Assertion Markup Language)

IdP連携によるシングルサインオンにより、外部のアプリケーションのユーザーでOps Iにログインして操作することが可能になり、外部のアプリケーションとOps Iのシームレスな連携を実現します。

IdP連携においてOps I側の設定はOps Iセキュリティ管理者、IdP側の設定はIdP管理者が実施します。Ops Iセキュリティ管理者はPre-Installedロール「System Security Administrator」またはPrimitiveロール「user_admin」が割り当てられたユーザーです。



(1)IdP連携の構成

IdP連携の構成を以下に示します。

【OIDCの場合の構成】

OIDCの場合、VPN構成かVPN構成でないかの2つの構成があります。
OIDCの設定については「OIDCの接続設定手順」を参照してください。OIDCの接続設定時には、IdPのユーザー情報とOps Iユーザーの属性情報、グループ、またはロールのマッピングが必要です。マッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。

  • VPN構成にしない場合
    連携できるIdPはインターネット上に公開されている必要があります。
    また、Ops IとのIdPとの通信ができるようにアウトバウンド通信の許可が必要です。

    (図)OIDCの構成:VPN構成にしない (図)OIDCの構成:VPN構成にしない

  • VPN構成にする場合
    VPNを通して通信可能な範囲にIdPが存在している必要があります。

    (図)OIDCの構成:VPN構成 (図)OIDCの構成:VPN構成

【SAMLの場合の構成】

Ops IのSAML認証ではSP initialized SSOをサポートします。
ブラウザーがIdPと通信可能である必要があります。SAMLの場合、ブラウザーとOps I、ブラウザーとIdPというように、Ops IとIdPが直接通信することはないので、アウトバウンド通信の許可は不要です。
SAMLの設定については「SAMLの接続設定手順」を参照してください。SAMLの接続設定時には、IdPのユーザー情報とOps Iユーザーの属性情報、グループ、またはロールのマッピングが必要です。マッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。

(図)SAMLの構成 (図)SAMLの構成

(2)ログイン/ログアウト

IdP連携を使用してログインする場合、IdPとOps Iどちらからログインするか、ユーザーがIdPと連携済みか否かなどの条件によって、ログインの操作が異なります。
ログイン/ログアウトの詳細については「ログイン/ログアウト」を参照してください。
IdP連携によるシングルサインアウトには対応していません。



(3)Ops IユーザーとIdPユーザーの関連

IdP連携では、複数の種類のIdPを作成して使用することができます。
Ops Iのユーザーは、IdPごとに1つのユーザーと関連づけることが可能です。Ops Iの1つのユーザーを、同一のIdP内に存在する複数のユーザーに関連づけることはできません。

(図)Ops IユーザーとIdPユーザーの関連

Ops IユーザーとIdPユーザーの関連 Ops IユーザーとIdPユーザーの関連



(4)IdPと連携済みユーザーの削除

IdPでユーザーを削除した場合、そのユーザーと連携しているOps IのユーザーはOps Iから削除されません。連携しているOps IのユーザーをOps Iから削除する場合は、Ops Iセキュリティ管理者が手動でOps Iから削除してください。Ops Iユーザーの削除については「ユーザーの削除」を参照してください。



(5)IdPと連携済みユーザーのOps Iパスワードの変更/削除/再設定

IdPと連携済みユーザーのOps Iパスワードの削除と再設定について説明します。

【IdPと連携済みユーザーのOps Iパスワードの変更】

IdPでログインしているユーザーは、Ops Iパスワードの変更は行えません。そのため、IdPでOps Iにログインした場合は、[アカウント管理]メニューが表示されません。
[アカウント管理]の詳細については「アカウント管理」を参照してください。

【IdPと連携済みユーザーのOps Iパスワードの削除】

Ops Iパスワードの削除は、Ops Iセキュリティ管理者が[ユーザー詳細]画面で実施します。
Ops Iパスワードの削除は、IdPと連携しているユーザーに対してのみ行えます。IdPからのログインしか行わない場合、Ops Iパスワードを削除しておくことで、パスワードポリシーによる定期的なパスワードの更新が不要になります。
Ops Iパスワードを削除した場合は、Ops Iに直接ログインできなくなります。
[ユーザー詳細]画面の詳細については「ユーザーの詳細情報確認」を参照してください。

【IdPと連携済みユーザーのOps Iパスワードの再設定】

IdPと連携しているOps IユーザーのOps Iパスワードを削除または初期化した場合の、Ops Iパスワードの再設定は、実施するユーザーによって異なります。以下に実施するユーザーと方法を示します。

  • Ops Iセキュリティ管理者の場合
    パスワードを再設定するユーザーの[ユーザー詳細]画面で、パスワードを初期化します。パスワードを初期化すると、そのユーザーにパスワードの再入力を促すメールが送付されます。そのメールの指示に従って操作することでパスワードを再設定することができます。
  • Ops Iパスワードを再設定するユーザー自身の場合
    Ops Iログイン画面で「パスワードをお忘れですか?」をクリックすると、パスワードを初期化したときと同様にパスワードの再入力を促すメールが送付されるので、そのメールの指示に従って操作することでパスワードを再設定することができます。

[ユーザー詳細]画面の詳細については「ユーザーの詳細情報確認」を参照してください。



節構成

2.7.1 OIDCの接続設定手順
2.7.2 SAMLの接続設定手順
2.7.3 属性/グループ/ロールのマッピング
2.7.4 ログイン/ログアウト