個人用ツール

Pandora:Documentation ja:saml

提供: Pandora FMS Wiki JP

移動先: 案内, 検索

Pandora FMS ドキュメント一覧に戻る

Pandora FMS での SAML シングルサインオン

SAML is an XML-based open standard for authentication and authorization. Pandora FMS Enterprise can act as a service provider with your internal SAML identity provider.

SAML は、XML をベースにした、認証のためのオープンな標準規格です。Pandora FMS Enterprise は、内部の SAML IdP(ID プロバイダ) と共に、SP (サービスプロバイダ) として動作します。

Template warning.png

Administrators are always authenticated against the local database.


Template warning.png

管理者は常にローカルのデータベースで認証されます。


Pandora FMS の設定

Go to Administration -> Setup -> Authentication and select SAML under Authentication method.

管理メニュー(Administration) -> 設定(Setup) -> 認証(Authentication) へ行き、認証方法(Authentication method)SAML を選択します。

ファイル:Saml5.JPG

サービスプロバイダ設定


Download SimpleSamlphp and install it in /opt/simplesamlphp/.

SimpleSamlphp をダウンロードし、/opt/simplesamlphp/ にインストールします。

Make sure the file named /opt/simplesamlphp/lib/_autoload.php exists.

/opt/simplesamlphp/lib/_autoload.php というファイルがあるか確認します。

Follow the SimpleSAMLphp Service Provider QuickStart guide and configure the service provider. You will need your identity provider metadata.

SimpleSAMLphp Service Provider QuickStart ガイドに従い、サービスプロバイダの設定を行います。IDプロバイダのメタデータが必要になります。

Once the simplesamlphp is installed, check whether the login works properly directly in the saml. To that end, access the following IP and select the authentication source.

simplesamlphp をインストールしたら、saml でのログインが正しく動作するかを確認します。最後に、以下にアクセスし認証元を選択します。

http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php

ファイル:Saml1.JPG

A login screen like the following one will appear and once there, enter the saml user and password that you have previously created.

次のようなログイン画面が表示されるので、作成した saml ユーザとパスワードを入力します。

ファイル:Saml2.JPG

If the login is correct an overview screen with all the user attributes will appear.

正しくログインできると、すべてのユーザ属性を含む概要画面が表示されます。

IDプロバイダの設定


For saml users to be correctly generated in Pandora FMS, it is necessary to define in each and every one of them the following identifying attributes that appear in SAML configuration:

saml ユーザが Pandora FMS で正しく生成されるためには、SAML 設定に表示される次の識別属性をすべてのユーザに定義する必要があります。

ファイル:Saml3.JPG

  • Failback to local authentication: If it is disabled, it will not allow any user that does not exist in saml to log in (except tool administrator users). In case the authentication against saml fails and this option is disabled, it will not check the server database.
  • ローカル認証へのフォールバック(Failback to local authentication): 無効にすると、saml に存在しないユーザはログインできなくなります(管理者ユーザを除く)。saml に対する認証が失敗した際、このオプションが無効になっているとサーバのデータベース上のアカウントはチェックされません。
  • Automatically create remote users: It will create users automatically when logging in the tool for the first time through saml. In case of it being disabled, it must have been previously created manually.
  • リモートユーザの自動作成(Automatically create remote users): saml を使用した初回ログイン時に、ユーザを自動的に作成します。無効にする場合は、事前に手動でユーザを作成しておく必要があります。
  • SimpleSAML path: Path, not indicating the simplesamlphp in the path, where the simplesamlphp is installed on the server. As it was remarked in the documentation, it must be installed in the /opt/simplesamlphp path and it must be indicated in /opt/.
  • SimpleSAML パス(SimpleSAML path): simplesamlphp のパスではなく、simplesamlphp がインストールされている場所のパスです。本ドキュメントで示しているように、/opt/simplesamlphp にインストールし、/opt/ を設定する必要があります。
  • SAML Source: Name of the SAML source where queries will be send to. The name must match the source selected in:
  • SAML ソース(SAML Source): クエリが送られる SAML ソースの名前です。名前は以下で選択したソースにマッチする必要があります。
http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php
  • SAML user id attribute: Name of the SAML attribute that will match Pandora FMS user names.
  • SAML ユーザ ID 属性(SAML user id attribute): Pandora FMS のユーザ名にマッチする SAML 属性の名前です。
  • SAML mail attribute: Name of the SAML attribute that will match the Pandora FMS user mail when being created.
  • SAML メール属性(SAML mail attribute): 作成時に Pandora FMS ユーザのメールと一致する SAML 属性の名前です。
  • SAML group name attribute: Name of the SAML attribute that will match the group with which the users will be created in Pandora FMS.
  • SAML グループ名属性(SAML group name attribute): Pandora FMS に作成されたユーザのグループにマッチする SAML 属性の名前です。
  • Simple attribute / Multivalue attribute: Option that allows to select a simple attribute for Profile and Tag fields in Pandora FMS or a multivalue attribute.
  • 単一属性/複数属性(Simple attribute / Multivalue attribute): Pandora FMS のプロファイルおよびタグフィールドのための単一属性または複数の属性を選択できるオプションです。

In case of using Simple attribute, two new fields called Profile attribute and Tag attribute will appear, where to select the names of the SAML attributes that match the Profile and Tag name in Pandora FMS when created.

単一属性の利用を選択した場合は、プロファイル属性(Profile attribute) および タグ属性(Tag attribute)が表示されます。そこで、Pandora FMS のプロファイルおよびタグにマッチする SAML 属性を選択します。

When selecting Multivalue attribute, use an attribute that follows this format:

複数属性を選択したときは、以下のフォーマットで属性を指定します。

<Attribute Name="MULTIVALUE_ATTRIBUTE">
<AttributeValue>PREFIX:role:rolename</AttributeValue>
<AttributeValue>PREFIX:tag:tagname</AttributeValue>
</Attribute>

Once this attribute is created in SAML and selected in such a manner, together with the Pandora FMS configuration, it will indicate the following parameters:

属性を SAML で作成し、Pandora FMS の設定を行うと、次のパラメータが表示されます。

ファイル:Saml4.JPG


  • SAML profiles and tag attribute: Name of the multivalue attribute.
  • SAML プロファイルおよびタグ属性: 複数属性の名前。
  • SAML profile and tags prefix: Prefix that will precede the role and tag key in the value attribute. In case it is urn:artica:role:<rolename> and urn:artica:tag:<tagname> the urn:artica prefix must be configured.
  • SAML プロファイルおよびタグプレフィックス(SAML profile and tags prefix): 値の属性の役割およびタグキーの前につくプレフィックス。urn:artica:role:<rolename> および urn:artica:tag:<tagname> の場合、urn:artica プレフィックスを設定する必要があります。

ログイン


Go to Pandora FMS Console and click on the Login button. You will be redirected to your identity provider.

Pandora FMS コンソールへ行き、ログイン ボタンをクリックします。ID プロバイダへリダイレクトされます。



800px



After a successful login you will be redirected back to the Pandora FMS Console.

ログインに成功すると、Pandora FMS コンソールにリダイレクトされ戻ってきます。