https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/index.html Recent content in 2.7 IdP連携の設定 on JP1 Cloud Service 運用統合 利用ガイド Hugo -- gohugo.io ja https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_oidc/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_oidc/index.html IdP連携で認証に使用するプロトコルにOIDCを使用する場合の接続設定手順について説明します。 OIDCを使用する場合、以下の条件を満たしている必要があります。 IdPが認可コードフローに対応している IDトークンまたはUserInfoエンドポイントでユーザーID（username）、姓、名 、およびメールアドレスが取得できる 以下に、OIDCの接続設定手順を示します。 （図）OIDCの接続設定手順 ① Ops IのIdP連携の情報をIdPに提供 Ops I セキュリティ管理者はIdP管理者に、[リダイレクトURI]の情報を提供します。[リダイレクトURI]※は、Ops IのドメインとOIDCの接続設定の[ID]によって決まるため、事前に[ID]を決める必要があります。 リダイレクトURI：https://auth.Ops Iのドメイン/realms/opsi/broker/OIDCの接続設定の[ID]/endpoint ※IdPによってはリダイレクトURIがコールバックURLという名前の場合があります。 ② Ops IのIdP連携の情報をIdPに登録 IdP管理者はOps Iをリライングパーティ（RP）として接続できるように、手順①で提供されたIdP連携の情報をIdPに登録します。 ③ IdPの情報をOps Iに提供 IdP側のIdPの情報をOps Iセキュリティ管理者に提供します。Ops Iへの登録方法によって、提供してもらう情報が異なります。 手動で登録する場合 IdP管理者は各エンドポイントの情報、クライアントID、クライアントシークレットなどの接続に必要な情報をOps Iセキュリティ管理者に提供します。 一部自動で登録する場合 IdP管理者はディスカバリーエンドポイントの情報と、クライアントID、クライアントシークレットなどの接続に必要な情報をOps Iセキュリティ管理者に提供します。 ④ OIDCの接続設定を追加し、IdPの情報をOps Iに登録 Ops Iセキュリティ管理者はOIDCの接続設定を追加し、そこに手順③で提供されたIdPの情報を登録します。ディスカバリーエンドポイントを使用する場合は、各エンドポイントなどの情報を自動で入力することが可能です。 ディスカバリーエンドポイントはOIDCの接続設定の新規追加時にのみ指定できます。 OIDCの接続設定の追加やディスカバリーエンドポイントの使用については「OIDCの追加」を参照してください。 ⑤ 属性/グループ/ロールのマッピングを登録 IdPのユーザー情報とOps Iユーザーの属性情報、およびグループ、ロールのマッピングを登録します。詳細については「属性/グループ/ロールのマッピング」を参照してください。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_saml/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_saml/index.html IdP連携で認証に使用するプロトコルにSAMLを使用する場合の接続設定手順について説明します。 SAMLを使用する場合、SAMLアサーションでユーザーID（username）、姓、名 、メールアドレスが取得できる必要があります。 以下にSAMLを使用したIdPの設定手順を示します。 （図）SAMLの接続設定手順 ① IdPの情報をOps Iに提供 IdP管理者はOps Iセキュリティ管理者に、IdPのアイデンティティプロバイダーのエンティティIDやシングルサインオンサービスURL（AuthnRequestのURL）などの情報を提供します。手順②でアイデンティティプロバイダーのメタデータ（XMLファイル）を使用する場合、アイデンティティプロバイダーのメタデータを提供します。 ② SAMLの接続設定を追加し、IdPの情報をOps Iに登録 Ops Iセキュリティ管理者はSAMLの接続設定を追加し、そこにサービスプロバイダーのエンティティIDなどのIdPの情報を登録します。アイデンティティプロバイダーのメタデータを使用する場合は、IdPの情報を自動入力することが可能です。 アイデンティティプロバイダーのメタデータはSAMLの接続設定の新規追加時にのみ指定できます。 SAMLの接続設定の追加やアイデンティティプロバイダーのメタデータの使用については「SAMLの追加」を参照してください。アイデンティティプロバイダーのメタデータの内容については「アイデンティティプロバイダーのメタデータの例」を参照してください。 SAMLの接続設定にはSAMLの証明書を設定することができます。これにより、通信相手の正当性を検証することができます。ただし、証明書は定期的な更新が必要です。証明書の更新については「SAMLの証明書更新」を参照してください。 ③ 属性/グループ/ロールのマッピングを登録 IdPのユーザー情報とOps Iユーザーの属性情報、およびグループ、ロールのマッピングを登録します。詳細については「属性/グループ/ロールのマッピング」を参照してください。 ④ Ops IのIdP連携の情報を提供 Ops Iセキュリティ管理者は手順②で追加した[サービスプロバイダーのエンティティID]などの接続設定の情報をIdP管理者に提供します。 手順⑤でサービスプロバイダーのメタデータ（XMLファイル）を使用する場合、接続設定からサービスプロバイダーのメタデータを出力してIdP管理者に提供します。サービスプロバイダーのメタデータはSAMLの接続設定の詳細画面でのみ出力できます。 サービスプロバイダーのメタデータの出力については「接続設定の詳細画面」を参照してください。 ⑤ IdPにOps Iの接続設定の情報を登録 IdP管理者はOps Iをサービスプロバイダーとして接続できるように、IdPにOps Iの接続設定の情報を登録します。サービスプロバイダーのメタデータを使用する場合は、Ops Iの接続設定の情報を自動で登録することができます。 項構成 2.7.2.1 SAMLの証明書更新 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_mapping/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_mapping/index.html IdPユーザーとOps Iユーザーを連携させるため、IdPのユーザー情報をもとに、Ops Iユーザーの属性情報、グループ、およびロールのマッピングを行います。 マッピングは、OIDCまたはSAMLの接続設定ごとに複数のマッピングの設定を登録することが可能です。 マッピングの設定はOps Iセキュリティ管理者が実施します。 （図）マッピングの概要 以下の属性項目はOps Iのユーザープロファイルの必須項目のため、マッピングの設定または自動でのマッピングによって、必ず値を設定する必要があります。値が不足していた場合はログインエラーとなります。 メールアドレス 名前(名) 苗字(姓) マッピングは接続設定の詳細画面のマッピングタブで行います。詳細については「マッピングタブ」を参照してください。OIDCの接続設定については「OIDCの接続設定手順」と「OIDCの追加」、SAMLの接続設定については「SAMLの接続設定手順」と「SAMLの追加」を参照してください。 注意事項 IdPによる顧客ユーザーのログインを許可する場合には、ユーザー属性の顧客と、以下のいずれかのロールが割り当たるようにマッピングの設定を行う必要があります。 Pre-Installedロール「Customer Manager」 Pre-Installedロール「Customer User」 Primitiveロール「customer」および「free_user」 Primitiveロール「customer」および「manager」 上記のいずれかを関連ロールに設定したカスタムロール 適切な顧客やOps Iロールが適用されないと、所属する顧客に関連がないレコード（チケットやワークフローなど）が参照、更新されるおそれがあります。 IdPによりログインした際、作成されるユーザーは課金ユーザーとなります。非課金ユーザーとして作成したい場合は、Primitiveロール「free_user」を含むPre-Installedロールをマッピングしてください。 Ops Iでは大文字と小文字でメールアドレスを区別していません。IdPで大文字のメールアドレスを使用している場合は、テンプレートでのマッピングによって小文字に変換する必要があります。マッピングの種類については、OIDCの場合は「Claimを属性にテンプレート文字列で割り当て」、SAMLの場合は「属性を属性にテンプレート文字列で割り当て」を選択し、以下のように変換してください。 OIDCの場合${authn_info["email"]?c_lower_case} SAMLの場合${authn_info["email"][0]?c_lower_case} マッピングの詳細については「マッピングタブ」、記載ルールについては「記載ルール、例」を参照してください。 （1）属性情報の取得と設定先 IdPのユーザー情報の取得と設定先について説明します。 【属性情報の取得】 マッピングのもととなるIdPのユーザー情報は以下から取得します。 OIDCの場合 OIDCでユーザー属性にあたるClaimを、IDトークンまたはUserInfoエンドポイントから取得します。 OIDCの接続設定の[スコープ]項目に、取得したいClaimが含まれるスコープを指定する必要があります。 SAMLの場合 SAMLでユーザー属性にあたるAttributeを、SAMLレスポンスに含まれるSAMLアサーションから取得します。 IdPのユーザー情報を使用せず、固定値を設定することも可能です。固定値の場合、接続設定ごとに値を指定することが可能です。例えば、特定のIdPのユーザーは顧客Aとするといったマッピングが可能です。 【属性情報の設定先】 取得した属性情報の設定先は以下になります。 Ops Iユーザーの属性値 指定可能な属性値：メールアドレス、名前(名)、苗字(姓)、会社、部署、住所、電話番号1、電話番号2、備考、顧客（顧客ID） 取得した属性に対して条件を設定し、条件を満たした場合にグループに割り当てる 取得した属性に対して条件を設定し、条件を満たした場合にロールに割り当てる （2）同期モード 取得したIdPのユーザー情報を、マッピング設定の内容にしたがってOps Iのユーザー情報に設定します。[同期モード]はOps Iユーザー情報に設定するタイミングを指します。[同期モード]は以下から選択します。 継承：接続設定に設定されている[同期モード]を継承する ユーザー作成時：Ops IにIdPと連携するユーザーが存在しない状態ではじめてログインし、Ops Iにユーザーを作成するときに反映する ログインする度：IdPを使用してOps Iにログインする度に反映する。IdPのユーザー情報を更新してログインすると、連携するOps Iユーザーの情報も更新される 同期モードの設定は、マッピングタブから実施します。詳細については「マッピングタブ」を参照してください。 接続設定での[同期モード]の設定については、「OIDCの追加」と「SAMLの追加」を参照してください。どちらも接続設定の編集画面で設定します。 （3）自動でのマッピング IdPのユーザー情報には、マッピングの設定をせずに自動でマッピングが適用される属性情報があります。自動でのマッピングは、[同期モード]の[ユーザー作成時]として動作します。ただし、ユーザーがマッピングの設定をしている場合はその設定が優先されます。 OIDCとSAMLの自動でマッピングが適用される属性を以下に示します。 OIDCの場合 以下のClaimの場合は、自動でマッピングが適用されます。 Claim名 ユーザーの属性 preferred_username※ ユーザー名 email メールアドレス given_name 名前(名) family_name 苗字(姓) ※preferred_usernameはユーザー名を上書きします。 SAMLの場合 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_login_logout/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/idp_login_logout/index.html IdP連携によるOps Iへのログインとログアウトについて説明します。 IdP連携でOps Iにログインするための前提条件を以下に示します。 IdPのユーザー情報が取得できること IdPとOps Iのユーザーが連携するためには、それぞれのユーザーの属性情報のマッピングが必要です。以下はマッピングで必須の属性情報になります。値が不足していた場合ログインエラーになります。 マッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。 メールアドレス 名前(名) 苗字(姓) IdPユーザーのメールアドレスがOps Iのメールアドレスの入力可能文字の条件を満たしていること 使用可能文字の条件を満たしていない場合、ログインエラーとなります。入力可能文字については「入力可能文字に関する注意事項」を参照してください。 IdPと連携済みのOps Iユーザー、またはIdPと連携するOps Iのユーザーが有効であること ユーザープロファイルで、[無効]状態のユーザーはログインすることはできません。 [無効]状態のユーザーと削除した（存在しない）ユーザーの状態は異なります。「ユーザーデータ再利用方針」は削除したユーザーに関する操作のため、[別のユーザーとしデータを引き継がない]を選択した場合でも[無効]状態のユーザーはログインできません。 （1）ログイン IdP連携で認証に使用するプロトコルのOIDCもしくはSAMLの接続設定を追加すると、Ops Iのログイン画面に追加した接続設定がボタンで表示されます（設定が有効になっている接続設定のみ）。IdP連携でログインする場合は、使用するIdPの接続設定のボタンを選択します。 ログイン画面でIdPのボタンを選択後は、ユーザーがIdPと連携済みか否か、IdPとOps Iどちらからログインするかなどの条件によって、ログインの操作が異なります。 異なるログイン操作のパターンは以下の通りです。 IdPとOps Iのユーザーが連携していない場合 Ops IにIdPのユーザーが存在しない場合に、IdPでログインする IdPとOps Iに同一と判断されるユーザーが存在する場合に、IdPでログインする IdPとOps Iのユーザーが連携済みの場合 IdPとOps Iのユーザーが連携済みの場合に、IdPでログインする IdPとOps Iのユーザーが連携済みの場合に、Ops Iでログインする IdPとOps Iのユーザーが連携済みかどうかは[ユーザー詳細]画面で確認できます。詳細については「ユーザーの詳細情報確認」を参照してください。[ユーザー詳細]画面では、ユーザーとIdPの連携解除も行えます。 また、使用するIdPが1つの場合、デフォルトで使用するIdPを設定することができます。これにより、ログイン画面で接続設定を選択する行程を省略することができます。詳細については「デフォルトのアイデンティティプロバイダー」を参照してください。 以下に、それぞれのログイン操作のパターンの詳細について説明します。 【Ops IにIdPのユーザーが存在しない場合に、IdPでログインする】 Ops IにIdPのユーザーが存在しない状態で、IdPでログインした場合の流れを以下に示します。 （図）Ops IにIdPのユーザーが存在しない場合に、IdPでログインする ① ユーザーがOps Iのログイン画面にアクセスします。 ② IdPでOps Iにログインするため、Ops IからIdPに認証が委譲されます。 ③ IdPのログイン画面でIdPの認証情報（パスワードや生体情報など）を入力し、IdPにログインします。事前にIdPにログイン済みの場合、ログイン画面は表示されずに次の行程に進みます。 ④ Ops Iへの認証が許可されます。 ⑤ IdPのユーザー情報でOps Iにユーザーが作成され、関連付けが行われます。この場合、Ops Iのパスワードは設定されません。 ユーザー名がOps Iの入力可能文字の条件を満たしていない場合、自動的にユーザー名が変換されます。変換内容については「ユーザー名の変換」を参照してください。 ユーザー名、またはメールアドレスが過去に削除した（OTOBOに情報が存在する）ユーザーと一致した場合は、ユーザーデータ再利用方針で設定した内容にしたがって、ユーザー情報を引き継ぐか否かが決まります。詳細については「ユーザーデータ再利用方針」を参照してください。 ⑥ ユーザーに対してOps Iへのアクセスが許可され、Ops Iにログインします。 【IdPとOps Iに同一と判断されるユーザーが存在する場合に、IdPでログインする】