====== Pandora FMS での SAML シングルサインオン ====== {{indexmenu_n>12}} [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]] **SAML** is an open XML-based authentication and authorization standard. **Pandora FMS** can work as a service provider with its internal SAML identity provider. SAML は、XML をベースにした、認証のためのオープンな標準規格です。Pandora FMS は、内部の SAML IdP(ID プロバイダ) と共に、SP (サービスプロバイダ) として動作します。 Administrators always authenticate against the local database. 管理者は常にローカルのデータベースで認証されます。 ===== Pandora FMS の設定 ===== It will be necessary to go to **Management → Setup → Setup → Authentication** and select SAML under **Authentication method**. **管理(Management)** → **セットアップ(Setup)** → **セットアップ(Setup)** → **認証(Authentication)** へ行き、**認証方法(Authentication method)** で SAML を選択します。 {{ :wiki:pfms-management-setup-setup-authentication.png |saml5.jpg}} ===== サービスプロバイダ設定 ===== To configure the service provider you will need to download [[https://simplesamlphp.org/|SimpleSamlphp]] and install it in ''/opt/simplesamlphp/''. サービスプロバイダの設定をするには、最初に [[https://simplesamlphp.org/|SimpleSamlphp]] をダウンロードし、''/opt/simplesamlphp/'' にインストールします。 It will be necessary to configure an //endpoint// to manage the authentications at ''/simplesaml'': ''/simplesaml'' の認証管理のために、//endpoint// を設定します。 ln -s /opt/simplesamlphp/www /var/www/html/simplesaml You will need to add your SP in ''/opt/simplesamlphp/config/authsources.php'': ''/opt/simplesamlphp/config/authsources.php'' に SP を追加します。 'test-sp' => [ 'saml:SP', 'entityID' => 'http://app.example.com', 'idp' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php', ], The metadata of the ''idP'': ''IdP'' メタデータを登録します。 $metadata['http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php'] = array( 'name' => array( 'en' => 'Test IdP', ), 'description' => 'Test IdP', 'SingleSignOnService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SSOService.php', 'SingleLogoutService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SingleLogoutService.php', 'certFingerprint' => '119b9e027959cdb7c662cfd075d9e2ef384e445f', ); It is recommended to use certificate validation with direct certificate instead of ''certFingerprint''. ''certFingerprint'' の代わりに、直接認証を使用した認証の検証を使用することをお勧めします。 It is necessary to make sure that the file ''/opt/simplesamlphp/lib/_autoload.php'' exists. ''/opt/simplesamlphp/lib/_autoload.php'' ファイルが存在することを確認します。 Once **simplesamlphp** is installed, you can check if the //login// works directly in **SAML**. To do this, access the following IP address and select the authentication source. **simplesamlphp** をインストールしたら、**SAML** でのログインが正しく動作するかを確認します。これを行うには、次の IP アドレスにアクセスし、認証ソースを選択します。 http:///simplesaml/module.php/core/authenticate.php {{ :wiki:saml1.jpg |saml1.jpg}} A //login// screen like the one below will appear where you will enter a **SAML** user and password that you have created. 次のような//ログイン//画面が表示されるので、**SAML** ユーザとパスワードを入力します。 {{ :wiki:saml_idp.png?nolink& |saml2.jpg}} If the //login// is correct, a summary screen will appear with all the user's attributes. 正しくログインできると、すべてのユーザ属性を含む概要画面が表示されます。 The guide is also available at [[https://simplesamlphp.org/docs/stable/simplesamlphp-sp|SimpleSAMLphp Service Provider QuickStart]]. こちらのガイドも参考にしてください。[[https://simplesamlphp.org/docs/stable/simplesamlphp-sp|SimpleSAMLphp Service Provider QuickStart]]. ===== IDプロバイダの設定 ===== In order to generate SAML users correctly in Pandora FMS it is necessary to define in each one of them the following identification attributes that appear in the SAML configuration: SAML ユーザが Pandora FMS で正しく生成されるためには、SAML 設定に表示される次の識別属性をすべてのユーザに定義する必要があります。 * **Failback to local authentication**: If disabled it will not allow any user to log in that does not exist in SAML (except superadmin type users). If authentication against SAML fails and this option is disabled, it will not query the server database. * **Automatically create remote users**: It will automatically create the users when you log in for the first time using SAML in the tool. If it is disabled, it must be created manually beforehand. * **SimpleSAML path**: Configures the path to the folder where the directory is located ''simplesamlphp''. * **SAML Source**: Name of the SAML source against which the requests are to be made. The name must match the source selected in: * **ローカル認証へのフォールバック(Failback to local authentication)**: 無効にすると、saml に存在しないユーザはログインできなくなります(管理者ユーザを除く)。saml に対する認証が失敗した際、このオプションが無効になっているとサーバのデータベース上のアカウントはチェックされません。 * **リモートユーザの自動作成(Automatically create remote users)**: saml を使用した初回ログイン時に、ユーザを自動的に作成します。無効にする場合は、事前に手動でユーザを作成しておく必要があります。 * **SimpleSAML パス(SimpleSAML path)**: **simplesamlphp** がインストールされているディレクトリのパスです。 * **SAML ソース(SAML Source)**: クエリが送られる SAML ソースの名前です。名前は以下で選択したソースにマッチする必要があります。 http://< IP_ADDRESS >/simplesaml/module.php/core/authenticate.php * **SAML user id attribute**: The field retrieved from SAML to be used as the user name (e.g. **uid**). * **SAML mail attribute**: The field retrieved from SAML to be used as the user's email (e.g. **email**). * **SAML group name attribute**: The field retrieved from SAML to be used as the user's group (e.g. **group1PersonAffiliation**). * **Profile attribute**: The field retrieved from SAML to be used as a profile on user group (e.g. **urn:profile_example:Operator Read**). * **Simple attribute / Multivalue attribute**: Option that allows to select whether to use a simple attribute for the Profile and Tag fields in Pandora FMS or a multivalue attribute. * **SAML ユーザ ID 属性(SAML user id attribute)**: ユーザ名として利用される SAML フィールドです。(例: **uid**) * **SAML メール属性(SAML mail attribute)**: ユーザのメールとして使われる SAML フィールドです。(例: **email**) * **SAML グループ名属性(SAML group name attribute)**: ユーザグループとして使われる SAML フィールドです。(例: **group1PersionAffiliation**) * **プロファイル属性(Profile attribute)**: ユーザグループのプロファイルとして使用される SAML フィールドです。(例: **urn:profile_example:Operator Read**) * **単一属性/複数属性(Simple attribute / Multivalue attribute)**: ユーザグループのプロファイルとして使われる SAML フィールドです。(例: **nowiki>urn:profile_example:Operator Read**) In the case of choosing **Simple attribute** two new fields called **Profile attribute** and **Tag attribute** will appear where the names of the SAML attributes that will coincide with the name of the Profile and Tag in Pandora FMS when they are created will be selected. **単一属性(Simple attribute)**の利用を選択した場合は、**プロファイル属性(Profile attribute)** および **タグ属性(Tag attribute)**が表示されます。そこで、Pandora FMS のプロファイルおよびタグにマッチする SAML 属性を選択します。 When **Multivalue attribute** is selected, an attribute following this format must be used: **複数属性(Multivalue attributes)**を選択したときは、以下のフォーマットで属性を指定します。 PREFIX:role:rolename PREFIX:tag:tagname Once the attribute in the SAML is created and selected in this way with the configuration in Pandora FMS, the following parameters will be indicated: 属性を SAML で作成し、Pandora FMS の設定を行うと、次のパラメータが表示されます。 {{ wiki:saml4.JPG }} * **SAML profiles and tag attribute**: Name of the multivalue attribute. * **SAML profile and tags prefix**: Prefix that will go before the role and tag keys in the attribute value. In the case of ''urn:pfms:role:< rolename >'' and ''urn:pfms:tag:'' the prefix ''urn:pfms'' should be configured. * **SAML プロファイルおよびタグ属性**: 複数属性の名前。 * **SAML プロファイルおよびタグプレフィックス(SAML profile and tags prefix)**: 値の属性の役割およびタグキーの前につくプレフィックス。''urn:pfms:role:< rolename >'' および ''urn:pfms:tag:'' の場合、''urn:pfms'' プレフィックスを設定する必要があります。 ===== ログイン ===== It will be necessary to navigate in the Pandora FMS Console and click on the Login button. It will redirect to the identity provider. Pandora FMS コンソールへ行き、//ログイン// ボタンをクリックします。ID プロバイダへリダイレクトされます。 {{ wiki:Saml idp.png?800 }} After a successful login you will be redirected back to the Pandora FMS Console. ログインに成功すると、Pandora FMS コンソールにリダイレクトされ戻ってきます。 [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]