Pandora FMS での SAML シングルサインオン

Pandora FMS ドキュメント一覧に戻る

SAML is an open XML-based authentication and authorization standard. Pandora FMS can function as a service provider with its internal SAML identity provider.

SAML は、XML をベースにした、認証のためのオープンな標準規格です。Pandora FMS は、内部の SAML IdP(ID プロバイダ) と共に、SP (サービスプロバイダ) として動作します。

It will be necessary to go to Management → Setup → Setup → Authentication y seleccione SAML bajo Authentication method.

管理(Management) → セットアップ(Setup) → セットアップ(Setup) → 認証(Authentication) へ行き、認証方法(Authentication method) で SAML を選択します。

To configure the service provider you will need to download SimpleSamlphp and install it in /opt/simplesamlphp/.

サービスプロバイダの設定をするには、最初に SimpleSamlphp をダウンロードし、/opt/simplesamlphp/ にインストールします。

It will be necessary to configure an endpoint to manage the authentications at /simplesaml:

/simplesaml の認証管理のために、endpoint を設定します。

ln -s /opt/simplesamlphp/www /var/www/html/simplesaml

You will need to add your SP in /opt/simplesamlphp/config/authsources.php:

/opt/simplesamlphp/config/authsources.php に SP を追加します。

'test-sp' => [
       'saml:SP',
       'entityID' => 'http://app.example.com',
       'idp' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php',
   ],

The metadata of the idP:

IdP メタデータを登録します。

$metadata['http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php'] = array(
       'name' => array(
           'en' => 'Test IdP',
       ),
       'description' => 'Test IdP',
       'SingleSignOnService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SSOService.php',
       'SingleLogoutService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SingleLogoutService.php',
       'certFingerprint' => '119b9e027959cdb7c662cfd075d9e2ef384e445f',
   );

It is necessary to make sure that the file /opt/simplesamlphp/lib/_autoload.php exists.

/opt/simplesamlphp/lib/_autoload.php ファイルが存在することを確認します。

Once simplesamlphp is installed, you can check if the login works directly in SAML. To do this, access the following IP address and select the authentication source.

simplesamlphp をインストールしたら、SAML でのログインが正しく動作するかを確認します。これを行うには、次の IP アドレスにアクセスし、認証ソースを選択します。

http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php

A login screen like the one below will appear where you will enter a SAML user and password that you have created.

次のようなログイン画面が表示されるので、SAML ユーザとパスワードを入力します。

If the login is correct, a summary screen will appear with all the user's attributes.

正しくログインできると、すべてのユーザ属性を含む概要画面が表示されます。

The guide is also available at SimpleSAMLphp Service Provider QuickStart.

こちらのガイドも参考にしてください。SimpleSAMLphp Service Provider QuickStart.

In order to generate SAML users correctly in Pandora FMS it is necessary to define in each one of them the following identification attributes that appear in the SAML configuration:

SAML ユーザが Pandora FMS で正しく生成されるためには、SAML 設定に表示される次の識別属性をすべてのユーザに定義する必要があります。

• Failback to local authentication: If disabled it will not allow any user to log in that does not exist in SAML (except superadmin type users). If authentication against SAML fails and this option is disabled, it will not query the server database.
• Automatically create remote users: It will automatically create the users when you log in for the first time using SAML in the tool. If it is disabled, it must be created manually beforehand.
• SimpleSAML path: Configures the path to the folder where the directory is located simplesamlphp.
• SAML Source: Name of the SAML source against which the requests are to be made. The name must match the source selected in:

• ローカル認証へのフォールバック(Failback to local authentication): 無効にすると、saml に存在しないユーザはログインできなくなります(管理者ユーザを除く)。saml に対する認証が失敗した際、このオプションが無効になっているとサーバのデータベース上のアカウントはチェックされません。
• リモートユーザの自動作成(Automatically create remote users): saml を使用した初回ログイン時に、ユーザを自動的に作成します。無効にする場合は、事前に手動でユーザを作成しておく必要があります。
• SimpleSAML パス(SimpleSAML path): simplesamlphp がインストールされているディレクトリのパスです。
• SAML ソース(SAML Source): クエリが送られる SAML ソースの名前です。名前は以下で選択したソースにマッチする必要があります。

http://< IP_ADDRESS >/simplesaml/module.php/core/authenticate.php

• SAML user id attribute: The field retrieved from SAML to be used as the user name (e.g. uid).
• SAML mail attribute: The field retrieved from SAML to be used as the user's email (e.g. email).
• SAML group name attribute: The field retrieved from SAML to be used as the user's group (e.g. group1PersonAffiliation).
• Profile attribute: The field retrieved from SAML to be used as a profile on user group (e.g. urn:profile_example:Operator Read).
• Simple attribute / Multivalue attribute: Option that allows to select whether to use a simple attribute for the Profile and Tag fields in Pandora FMS or a multivalue attribute.

• SAML ユーザ ID 属性(SAML user id attribute): ユーザ名として利用される SAML フィールドです。(例: uid)
• SAML メール属性(SAML mail attribute): ユーザのメールとして使われる SAML フィールドです。(例: email)
• SAML グループ名属性(SAML group name attribute): ユーザグループとして使われる SAML フィールドです。(例: group1PersionAffiliation)
• プロファイル属性(Profile attribute): ユーザグループのプロファイルとして使用される SAML フィールドです。(例: urn:profile_example:Operator Read)
• 単一属性/複数属性(Simple attribute / Multivalue attribute): ユーザグループのプロファイルとして使われる SAML フィールドです。(例: nowiki>urn:profile_example:Operator Read)

In the case of choosing Simple attribute two new fields called Profile attribute and Tag attribute will appear where the names of the SAML attributes that will coincide with the name of the Profile and Tag in Pandora FMS when they are created will be selected.

単一属性(Simple attribute)の利用を選択した場合は、プロファイル属性(Profile attribute) および タグ属性(Tag attribute)が表示されます。そこで、Pandora FMS のプロファイルおよびタグにマッチする SAML 属性を選択します。

When Multivalue attribute is selected, an attribute following this format must be used:

複数属性(Multivalue attributes)を選択したときは、以下のフォーマットで属性を指定します。

<Attribute Name="MULTIVALUE_ATTRIBUTE">
<AttributeValue>PREFIX:role:rolename</AttributeValue>
<AttributeValue>PREFIX:tag:tagname</AttributeValue>
</Attribute>

Once the attribute in the SAML is created and selected in this way with the configuration in Pandora FMS, the following parameters will be indicated:

属性を SAML で作成し、Pandora FMS の設定を行うと、次のパラメータが表示されます。

• SAML profiles and tag attribute: Name of the multivalue attribute.
• SAML profile and tags prefix: Prefix that will go before the role and tag keys in the attribute value. In the case of urn:pfms:role:< rolename > and urn:pfms:tag: the prefix urn:pfms should be configured.

• SAML プロファイルおよびタグ属性: 複数属性の名前。
• SAML プロファイルおよびタグプレフィックス(SAML profile and tags prefix): 値の属性の役割およびタグキーの前につくプレフィックス。urn:pfms:role:< rolename > および urn:pfms:tag: の場合、urn:pfms プレフィックスを設定する必要があります。

It will be necessary to navigate in the Pandora FMS Console and click on the Login button. It will redirect to the identity provider.

Pandora FMS コンソールへ行き、ログイン ボタンをクリックします。ID プロバイダへリダイレクトされます。

After a successful login you will be redirected back to the Pandora FMS Console.

ログインに成功すると、Pandora FMS コンソールにリダイレクトされ戻ってきます。

Pandora FMS ドキュメント一覧に戻る